Nueva variante de AUTORUN.O (es la novena variante de esta familia)

Una nueva variante de esta familia que se propaga por pendrive y usa ingenieria social mostrando iconos de carpeta con nombres de carpetas normalmente usadas, pasa a ser controlado a partir del ELISTARA 23.32 de hoy

Crea ficheros SETUP.EXE (OCULTO) Y SVCHOST.EXE, SYSTEM.EXE, todos ellos con icono de carpeta, igual que MIS DOCUMENTOS, MI MUSICA Y MIS IMAGENES Y MIS FOTOS, los cuales el usuario ejecuta, pensando que entra en las carpetas que supone que son, dado su icono

Aparte, tambien crea AUTORUN.INF en los pendrives, llamando al SETUP.EXE que se combina con el SVCHOST malware para mantenerse activo.

Si bien es de ingenieria social, además se propaga por pendrive por el típico AUTORUN.INF, por lo que aconsejamos proteger oredenadores y pendrives con el ELIPEN.EXE

Se lanza en cada reinicio a través de una clave de registro que lanza el SVCHOST.EXE  malware que se ubica en c:\WINDOWS\REGEDIT\  (en lugar de la carpeta de sistema que está el correcto), y el SYSTEM.EXE se ubica en C:\WINDOWS

El preanalisis de VT ofrece el siguiente resultado:

File name:
SVCHOST.EXE.Muestra EliStartPage v23.28
Submission date:
2011-05-30 07:21:40 (UTC)
Current status:
finished
Result:
37 /42 (88.1%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.05.30.01  2011.05.30  Win32/Autorun.worm.102400.C
AntiVir  7.11.8.164  2011.05.30  TR/Crypt.CFI.Gen
Antiy-AVL  2.0.3.7  2011.05.30  Worm/Win32.AutoRun.gen
Avast  4.8.1351.0  2011.05.29  Win32:AutoRun-AZI
Avast5  5.0.677.0  2011.05.29  Win32:AutoRun-AZI
AVG  10.0.0.1190  2011.05.30  Worm/Generic.AAVF
BitDefender  7.2  2011.05.30  Worm.Autorun.VHZ
CAT-QuickHeal  11.00  2011.05.30  Worm.AutoRun.ajgm
ClamAV  0.97.0.0  2011.05.30  –
Commtouch  5.3.2.6  2011.05.29  –
Comodo  8889  2011.05.30  Worm.Win32.Autorun.VB_DL0
DrWeb  5.0.2.03300  2011.05.30  Win32.HLLW.Autoruner.8410
eSafe  7.0.17.0  2011.05.26  Win32.SillyFDC
eTrust-Vet  36.1.8353  2011.05.27  Win32/SillyAutorun.BRW
F-Prot  4.6.2.117  2011.05.28  –
F-Secure  9.0.16440.0  2011.05.30  Worm.Autorun.VHZ
Fortinet  4.2.257.0  2011.05.30  W32/AutoRun.FSW!worm
GData  22  2011.05.30  Worm.Autorun.VHZ
Ikarus  T3.1.1.104.0  2011.05.30  Worm.Win32.AutoRun
Jiangmin  13.0.900  2011.05.29  Worm/AutoRun.iom
K7AntiVirus  9.104.4734  2011.05.28  EmailWorm
Kaspersky  9.0.0.837  2011.05.30  Worm.Win32.AutoRun.ajgm
McAfee  5.400.0.1158  2011.05.30  W32/Autorun.worm.aaj
McAfee-GW-Edition  2010.1D  2011.05.29  W32/Autorun.worm.aaj
Microsoft  1.6903  2011.05.30  Worm:Win32/Autorun.TA
NOD32  6163  2011.05.30  a variant of Win32/AutoRun.Qhost.U
Norman  6.07.07  2011.05.29  W32/Obfuscated.H8!genr
nProtect  2011-05-30.01  2011.05.30  Worm.Autorun.VHZ
Panda  10.0.3.5  2011.05.29  W32/Autorun.IZS
PCTools  7.0.3.5  2011.05.19  Worm.AutoRun!sd5
Prevx  3.0  2011.05.30  –
Rising  23.59.04.03  2011.05.27  Worm.Win32.Autorun.fvv
Sophos  4.65.0  2011.05.30  W32/Autorun-AZQ
SUPERAntiSpyware  4.40.0.1006  2011.05.29  –
Symantec  20111.1.0.186  2011.05.30  W32.SillyFDC
TheHacker  6.7.0.1.212  2011.05.28  W32/AutoRun.ajgm
TrendMicro  9.200.0.1012  2011.05.30  WORM_AUTORUN.ENR
TrendMicro-HouseCall  9.200.0.1012  2011.05.30  WORM_AUTORUN.ENR
VBA32  3.12.16.0  2011.05.30  Worm.AutoRun.ajgm
VIPRE  9431  2011.05.30  Worm.Win32.AutoRun.fsw (v)
ViRobot  2011.5.30.4485  2011.05.30  Worm.Win32.Autorun.102400.E
VirusBuster  13.6.376.0  2011.05.29  Worm.AutoRun.SDL
Additional information
Show all
MD5   : 855e4871cfe166a72b38b4c860d5fa90
SHA1  : a861e4580ea67ac40b278f6dccdd6ac148242796

File size : 102400 bytes

copyright….: …xD
product……: game
description..: n/a
original name: game.exe
internal name: game
file version.: 2.07

Dicha version del ELISTARA 23.32 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 horas CEST de hoy

saludos

ms, 30-.5.2011