Nueva muestra de malware en cola de monitorizacion (ZUPAR : Ver anexado al final)

La heurística del ELISTARA ha interceptado este fichero, que ha movido a C:\muestras de modo que a partir del siguiente reinicio ya no incordie .

El preanalisis del VirusTotal ofrece el siguiente informe:

ile name:
SONTIWIN.EXE.Muestra EliStartPage v23.51
Submission date:
2011-07-01 06:31:52 (UTC)
Current status:
finished
Result:
21 /42 (50.0%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.07.01.01  2011.07.01  –
AntiVir  7.11.10.182  2011.07.01  TR/Dropper.Gen
Antiy-AVL  2.0.3.7  2011.07.01  Trojan/Win32.VBKrypt.gen
Avast  4.8.1351.0  2011.07.01  –
Avast5  5.0.677.0  2011.07.01  –
AVG  10.0.0.1190  2011.07.01  Dropper.Generic2.SRJ
BitDefender  7.2  2011.07.01  Trojan.Generic.4446643
CAT-QuickHeal  11.00  2011.07.01  Trojan.VBInject.dx
ClamAV  0.97.0.0  2011.07.01  –
Commtouch  5.3.2.6  2011.07.01  –
Comodo  9231  2011.06.30  TrojWare.Win32.Vbkrypt.~dy006
DrWeb  5.0.2.03300  2011.07.01  –
eSafe  7.0.17.0  2011.06.29  –
eTrust-Vet  36.1.8419  2011.06.30  –
F-Prot  4.6.2.117  2011.06.30  –
F-Secure  9.0.16440.0  2011.07.01  Trojan.Generic.4446643
Fortinet  4.2.257.0  2011.07.01  W32/Refroso.BLC!tr
GData  22  2011.07.01  Trojan.Generic.4446643
Ikarus  T3.1.1.104.0  2011.07.01  –
Jiangmin  13.0.900  2011.06.30  Trojan/VBKrypt.pz
K7AntiVirus  9.106.4859  2011.06.30  Trojan
Kaspersky  9.0.0.837  2011.07.01  Trojan.Win32.VBKrypt.awp
McAfee  5.400.0.1158  2011.07.01  –
McAfee-GW-Edition  2010.1D  2011.07.01  –
Microsoft  1.7000  2011.07.01  VirTool:Win32/VBInject.gen!DX
NOD32  6255  2011.07.01  Win32/AutoRun.IRCBot.FC
Norman  6.07.10  2011.06.30  W32/VBInject.NP
nProtect  2011-06-30.01  2011.06.30  –
Panda  10.0.3.5  2011.06.30  W32/P2PWorm.OF
PCTools  8.0.0.5  2011.07.01  Trojan.Usuge
Prevx  3.0  2011.07.01  –
Rising  23.64.04.03  2011.07.01  –
Sophos  4.67.0  2011.07.01  Mal/VB-QN
SUPERAntiSpyware  4.40.0.1006  2011.07.01  Trojan.Agent/Gen-Falleg[T]
Symantec  20111.1.0.186  2011.07.01  Trojan.Usuge!gen3
TheHacker  6.7.0.1.246  2011.07.01  –
TrendMicro  9.200.0.1012  2011.07.01  –
TrendMicro-HouseCall  9.200.0.1012  2011.07.01  –
VBA32  3.12.16.4  2011.07.01  –
VIPRE  9737  2011.07.01  –
ViRobot  2011.7.1.4543  2011.07.01  Trojan.Win32.VBKrypt.98394
VirusBuster  14.0.104.0  2011.06.30  –

Additional information
MD5   : bcd67fd8d16121181ef1c660d1ea141e
SHA1  : 6074aff61559556bbb2f6cb73a6fda223f972fe1
SHA256: d2f29b4212b4986c95eb7eb6c38ced950e6ab0ee256f6fb3c249e812d9b014c2
ssdeep: 3072:knWXFyNV18vL3ksRqK/GVPE2euy4GRh7vj:kDNf8jksgK8EXus777
File size : 200794 bytes
publisher….: RRRRRRRR
copyright….: RRRRRRRRRR
product……: RRRRRRRR
description..: RRRRRRRRR
original name: 555.exe
internal name: 555
file version.: 46.43.0246

Como se ve solo la mitad de los antivirus lo detectan, entre los cuales no se encuentra el VirusScan, por lo que lo enviamos urgentemente a McAfee para su examen y control en proximos DATS

Tras la monitorizacion, informaremos del resultado y como pasamos a controlarlo.

saludos

ms, 1-7-2011

INFORME POSTMONITORIZACION

Una vez monitorizado se ha visto que es de la familia AUTORUN ZUPAR,  del que ya controlamos otras 8 variantes de esta misma subfamilia, aparte de otras subfamilias de dicho ZUPAR.

Como sea que se propaga por pendrive, recomendamos vacunar con ELIPEN.EXE tanto ordenadores como pendrives

A partir de la versión 23.54 del ELISTARA  pasaremos a controlar esta nueva variante.

Dicha version que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 horas CEST de hoy

saludos

ms, 1-7-2011