Nueva variante de FAKE AV, casi “intocable” … FAKE AV ADVANCED PCSHIELD 2012
Cada vez mas rocambolescos, este consiste en un EXE protegido por un servicio de un .SYS que se lanza incluso en MODO SEGURO, y que es creado por dicho EXE, lanzado desde un O4 RUN en cada reinicio.
Pero dicho EXE es “intocable” si está lanzado dicho .SYS, el cual tampoco puede ni renombrarse, ni eliminarse, ni moverse arrancando desde el disco duro, por lo cual, si el ELISTARA pide reiniciar repetidamente y pide el envio de una muestra que no aparece en C:\muestras, puede ser el caso, y debe seguirse el siguiente procedimiento:
1º ARRANCAR CON LIVE CD o con el CD de instalacion de Windows y acceder a la consola de recuperacion
2º ELIMINAR el primer fichero de 15 o 16 digitos .SYS que haya en C:\Windows\System32\drivers\
3º Arrancar en MODO SEGURO y lanzar el ELISTARA
4º Arrancar normalmente y enviar muestra, si la hay en C:\muestras, junto con el informe C:\infosat.txt
El preanalisis de VirusTotal sobre el .SYS en cuestion, (de nombre variable) ofrece el siguiente informe:
File name: 320a174327f05a91 sys
Submission date: 2011-09-29 12:38:55 (UTC)
Result: 17/ 43 (39.5%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.29.00 2011.09.29 Backdoor/Win32.Necurs
AntiVir 7.11.15.69 2011.09.29 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2011.09.29 –
Avast 6.0.1289.0 2011.09.29 –
AVG 10.0.0.1190 2011.09.29 BackDoor.Generic14.AWYF
BitDefender 7.2 2011.09.29 Trojan.Downloader.Agent.ABJS
ByteHero 1.0.0.1 2011.09.23 –
CAT-QuickHeal 11.00 2011.09.29 –
ClamAV 0.97.0.0 2011.09.29 –
Commtouch 5.3.2.6 2011.09.29 –
Comodo 10282 2011.09.29 –
DrWeb 5.0.2.03300 2011.09.29 Trojan.Necurs
Emsisoft 5.1.0.11 2011.09.29 Trojan.WinNT.Necurs!IK
eSafe 7.0.17.0 2011.09.27 –
eTrust-Vet 36.1.8588 2011.09.29 –
F-Prot 4.6.2.117 2011.09.29 –
F-Secure 9.0.16440.0 2011.09.29 Trojan.Downloader.Agent.ABJS
Fortinet 4.3.370.0 2011.09.29 –
GData 22 2011.09.29 Trojan.Downloader.Agent.ABJS
Ikarus T3.1.1.107.0 2011.09.29 Trojan.WinNT.Necurs
Jiangmin 13.0.900 2011.09.28 –
K7AntiVirus 9.113.5210 2011.09.28 –
Kaspersky 9.0.0.837 2011.09.29 Rootkit.Win32.Necurs.c
McAfee 5.400.0.1158 2011.09.29 Generic.dx!b2yj
McAfee-GW-Edition 2010.1D 2011.09.28 Artemis!EC44DDCEC641
Microsoft 1.7702 2011.09.29 Trojan:WinNT/Necurs.A
NOD32 6502 2011.09.29 a variant of Win32/TrojanDownloader.Necurs.A
Norman 6.07.11 2011.09.29 –
nProtect 2011-09-29.01 2011.09.29 –
Panda 10.0.3.5 2011.09.29 –
PCTools 8.0.0.5 2011.09.29 Hacktool.Rootkit
Prevx 3.0 2011.09.29 –
Rising 23.77.03.02 2011.09.29 –
Sophos 4.69.0 2011.09.29 –
SUPERAntiSpyware 4.40.0.1006 2011.09.29 Rootkit.Cloaked/Service-GEN
Symantec 20111.2.0.82 2011.09.29 Hacktool.Rootkit
TheHacker 6.7.0.1.312 2011.09.28 –
TrendMicro 9.500.0.1008 2011.09.29 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.29 –
VBA32 3.12.16.4 2011.09.28 –
VIPRE 10610 2011.09.29 –
ViRobot 2011.9.29.4695 2011.09.29 –
VirusBuster 14.0.239.0 2011.09.29 –
Additional informationShow all
MD5 : ec44ddcec6418a6bcd83b02ae38f1b09
SHA1 : 051e02c4fb169e2a6dd529ade0d44dc4d0857f5e
File size : 35328 bytes
y el preanalisis del .EXE en cuestión, tambien de nombre variable:
File name: 2a5ab265504437e.exe
Submission date: 2011-09-29 12:48:14 (UTC)
Result: 5/ 43 (11.6%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.29.00 2011.09.29 –
AntiVir 7.11.15.69 2011.09.29 –
Antiy-AVL 2.0.3.7 2011.09.29 –
Avast 6.0.1289.0 2011.09.29 –
AVG 10.0.0.1190 2011.09.29 –
BitDefender 7.2 2011.09.29 –
ByteHero 1.0.0.1 2011.09.23 –
CAT-QuickHeal 11.00 2011.09.29 –
ClamAV 0.97.0.0 2011.09.29 –
Commtouch 5.3.2.6 2011.09.29 –
Comodo 10282 2011.09.29 –
DrWeb 5.0.2.03300 2011.09.29 –
Emsisoft 5.1.0.11 2011.09.29 –
eSafe 7.0.17.0 2011.09.27 –
eTrust-Vet 36.1.8588 2011.09.29 –
F-Prot 4.6.2.117 2011.09.29 –
F-Secure 9.0.16440.0 2011.09.29 –
Fortinet 4.3.370.0 2011.09.29 –
GData 22 2011.09.29 –
Ikarus T3.1.1.107.0 2011.09.29 –
Jiangmin 13.0.900 2011.09.28 –
K7AntiVirus 9.113.5210 2011.09.28 –
Kaspersky 9.0.0.837 2011.09.29 –
McAfee 5.400.0.1158 2011.09.29 FakeAlert-SecurityTool.bt
McAfee-GW-Edition 2010.1D 2011.09.28 –
Microsoft 1.7702 2011.09.29 Trojan:WinNT/Necurs.A
NOD32 6502 2011.09.29 a variant of Win32/Kryptik.TIJ
Norman 6.07.11 2011.09.29 W32/Kryptik.AJN
nProtect 2011-09-29.01 2011.09.29 –
Panda 10.0.3.5 2011.09.29 Adware/ResDecA
PCTools 8.0.0.5 2011.09.29 –
Prevx 3.0 2011.09.29 –
Rising 23.77.03.02 2011.09.29 –
Sophos 4.69.0 2011.09.29 –
SUPERAntiSpyware 4.40.0.1006 2011.09.29 –
Symantec 20111.2.0.82 2011.09.29 –
TheHacker 6.7.0.1.312 2011.09.28 –
TrendMicro 9.500.0.1008 2011.09.29 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.29 –
VBA32 3.12.16.4 2011.09.28 –
VIPRE 10610 2011.09.29 –
ViRobot 2011.9.29.4695 2011.09.29 –
VirusBuster 14.0.239.0 2011.09.29 –
Additional informationShow all
MD5 : 5e35ffa5f91e098bb552a9ca185e3c3e
SHA1 : 5ac8680b4eaf3997cac67b64ed634b2f157fc1ab
File size : 321024 bytes
A partir de la version 23.98 del ELISTARA de hoy se controla dicha variante, pero para su eliminacion deben seguirse los pasos indicados al principio.
saludos
ms, 29-9-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.