NUEVA VARIANTE DE FAKE ALERT SECURITY SHIELD apenas controlada actualmente (solo 2 de los 43 AV de VT)
Una nueva variante de malware que pasamos a controlar a partir del ELISTARA 23,61 de hoy, llega por mail y ofrece un link a una web de Seattle, en EE.UU., que ejecuta un PHP:
http://davidlena.com/interceptado.PHP
lo cual ofrece este mensaje:
“Caution! Your computer contains a variety of suspicious programs.
Your System requires immediate checking!
The system will perform a fast and free check your PC
for malicious programs.”
[ Aceptar ] [ Cancelar ]
SI se cancela se acaba el problema, pero si se acepta, conecta con una web de Rusia:
194.11.16.198 RU Russian Federation 60.0000 100.0000 LLC Dentalis LLC Dentalis
de donde descarga un FAKE ALERT de los que no se ven en el registro, ya que lo lanza desde un RUNONCE que crea al SALIR de windows, y que una vez lanzado, como es propio de los RUNONCE, DESAPARECE DEL REGISTRO.
La descarga genera el fichero VCLEAN.EXE que al ejecutarlo instala el malware con nombre aleatorio, con copias de sí mismo
El preanalisis del VirusTotal ofrece el siguiente informe:
File name:
vclean.exe
Submission date:
2011-07-13 09:26:48 (UTC)
Current status:
finished
Result:
3/ 43 (7.0%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.13.01 2011.07.13 –
AntiVir 7.11.11.99 2011.07.13 –
Antiy-AVL 2.0.3.7 2011.07.13 –
Avast 4.8.1351.0 2011.07.12 –
Avast5 5.0.677.0 2011.07.12 –
AVG 10.0.0.1190 2011.07.13 –
BitDefender 7.2 2011.07.13 –
CAT-QuickHeal 11.00 2011.07.13 –
ClamAV 0.97.0.0 2011.07.13 –
Commtouch 5.3.2.6 2011.07.13 –
Comodo 9367 2011.07.13 –
DrWeb 5.0.2.03300 2011.07.13 Trojan.Fakealert.22515
Emsisoft 5.1.0.8 2011.07.13 –
eSafe 7.0.17.0 2011.07.12 –
eTrust-Vet 36.1.8441 2011.07.13 –
F-Prot 4.6.2.117 2011.07.13 –
F-Secure 9.0.16440.0 2011.07.13 –
Fortinet 4.2.257.0 2011.07.13 –
GData 22 2011.07.13 –
Ikarus T3.1.1.104.0 2011.07.13 –
Jiangmin 13.0.900 2011.07.12 –
K7AntiVirus 9.108.4894 2011.07.11 –
Kaspersky 9.0.0.837 2011.07.13 –
McAfee 5.400.0.1158 2011.07.13 FakeAlert-SecurityTool.bt
McAfee-GW-Edition 2010.1D 2011.07.13 –
Microsoft 1.7000 2011.07.13 –
NOD32 6290 2011.07.13 –
Norman 6.07.10 2011.07.12 –
nProtect 2011-07-13.01 2011.07.13 –
Panda 10.0.3.5 2011.07.12 –
PCTools 8.0.0.5 2011.07.12 –
Prevx 3.0 2011.07.13 –
Rising 23.66.00.03 2011.07.11 –
Sophos 4.67.0 2011.07.13 –
SUPERAntiSpyware 4.40.0.1006 2011.07.13 –
Symantec 20111.1.0.186 2011.07.13 –
TheHacker 6.7.0.1.253 2011.07.12 –
TrendMicro 9.200.0.1012 2011.07.13 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.13 –
VBA32 3.12.16.4 2011.07.13 –
VIPRE 9848 2011.07.13 FraudTool.Win32.Winwebsec.f (v)
ViRobot 2011.7.13.4567 2011.07.13 –
VirusBuster 14.0.121.0 2011.07.12 –
Additional information
MD5 : 4efc02302ad4238434befffdae4f12bc
SHA1 : a6adf4a1ce5a0c9bb7c304919f568d4322b7da08
File size : 345088 bytes
Dicha version del ELISTARA 23.61 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 horas CEST de hoy
saludos
ms, 13-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.