nueva variante de FAKE ALERT XP SECURITY

Esta nueva variante visualiza diferente nombre de falsa aplicación en cada instalacion, al monitorizar esta por ejemplo ha indicado ser un WINDOWS ANTISPYWARE 2012

Si bien el ELISTARA ya lo detectaba heuristicamente, pasamos a controlarlo específicamente a partir del ELISTARA 23.57

Cabe señalar que la simple eliminación del fichero malware, bloquea la ejecución de todos los EXE, salvo que se haga con el ELISTARA, que aunque no lo conozca, ya restaura la clave de los EXE FILES.

En cualquier caso, si se ha usado alguna otra utilidad que no lo ha hecho como el ELISTARA, podrá normalizarse ejecutando este previo renombre de la extension de .EXE a .SCR

Además este malware elimina la clave de actualizacion del windows (no solo la desactiva, lo cual restauraríamos, sino que la elimina por completo, por lo que requerirá volver a instalarlo desde el Centro de Seguridad de Windows, o descargar las actualizaciones manualmente.

El preanalisis del VirusTotal ofrece el siguiente informe:

File name:
RMP.EXE.Muestra EliStartPage v23.52
Submission date:
2011-07-06 07:09:59 (UTC)
Current status:
finished
Result:
28 /43 (65.1%)

VT Community

malware
Safety score: 0.0%
Compact
Print results

There is a more up-to-date report (28/43) for this file.
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.07.06.01  2011.07.06  Trojan/Win32.FakeAV
AntiVir  7.11.10.231  2011.07.06  TR/Fake.Rean.5072
Antiy-AVL  2.0.3.7  2011.07.06  –
Avast  4.8.1351.0  2011.07.05  Win32:FakeAlert-ASL [Trj]
Avast5  5.0.677.0  2011.07.05  Win32:FakeAlert-ASL [Trj]
AVG  10.0.0.1190  2011.07.05  FakeAlert.AET
BitDefender  7.2  2011.07.06  Gen:Variant.FakeAlert.88
CAT-QuickHeal  11.00  2011.07.06  (Suspicious) – DNAScan
ClamAV  0.97.0.0  2011.07.06  –
Commtouch  5.3.2.6  2011.07.06  –
Comodo  9292  2011.07.06  TrojWare.Win32.Trojan.Agent.Gen
DrWeb  5.0.2.03300  2011.07.06  Trojan.Fakealert.22570
Emsisoft  5.1.0.8  2011.07.06  Trojan.Fakealert!IK
eSafe  7.0.17.0  2011.07.05  –
eTrust-Vet  36.1.8427  2011.07.05  –
F-Prot  4.6.2.117  2011.07.05  –
F-Secure  9.0.16440.0  2011.07.06  Gen:Variant.FakeAlert.88
Fortinet  4.2.257.0  2011.07.06  W32/FAKEAL.SMLA!tr
GData  22  2011.07.06  Gen:Variant.FakeAlert.88
Ikarus  T3.1.1.104.0  2011.07.06  Trojan.Fakealert
Jiangmin  13.0.900  2011.07.05  –
K7AntiVirus  9.107.4870  2011.07.04  –
Kaspersky  9.0.0.837  2011.07.05  HEUR:Trojan.Win32.Generic
McAfee  5.400.0.1158  2011.07.06  FakeAlert-Rena.p
McAfee-GW-Edition  2010.1D  2011.07.06  FakeAlert-Rena.p
Microsoft  1.7000  2011.07.06  Rogue:Win32/FakeRean
NOD32  6268  2011.07.06  a variant of Win32/Kryptik.PUI
Norman  6.07.10  2011.07.06  –
nProtect  2011-07-05.03  2011.07.05  Gen:Variant.FakeAlert.88
Panda  10.0.3.5  2011.07.05  Adware/XPInternetSecurity2012
PCTools  8.0.0.5  2011.07.06  RogueAntiSpyware.Unvirex!gen1
Prevx  3.0  2011.07.06  –
Rising  23.65.00.05  2011.07.04  –
Sophos  4.67.0  2011.07.06  Mal/FakeAV-MQ
SUPERAntiSpyware  4.40.0.1006  2011.07.06  Trojan.Agent/Gen-FakeAV
Symantec  20111.1.0.186  2011.07.06  Unvirex!gen1
TheHacker  6.7.0.1.248  2011.07.05  –
TrendMicro  9.200.0.1012  2011.07.06  TROJ_FAKEAL.SMLA
TrendMicro-HouseCall  9.200.0.1012  2011.07.06  TROJ_FAKEAL.SMLA
VBA32  3.12.16.4  2011.07.05  –
VIPRE  9786  2011.07.06  FraudTool.Win32.FakeRean.i (v)
ViRobot  2011.7.6.4553  2011.07.06  –
VirusBuster  14.0.111.0  2011.07.05  –
Additional information
MD5   : 7c095640bc204e19c44fa40d9a00d58a
SHA1  : 518f9b96a220fcedf874bfe5004dbb4972bcf6be

File size : 348160 bytes

Dicha version del ELISTARA 23.57 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 horas CEST de hoy

Saludos

ms, 6-7-2011