Nueva variante de Fake AV Security Shield muy poco detectada por los AV actuales (7 de 37)

Publicado el 14 febrero 2011 ¬ 18:56 pmh.mscComentarios desactivados en Nueva variante de Fake AV Security Shield muy poco detectada por los AV actuales (7 de 37)

Una nueva variante del ya conocido FAKE AV SECURITY SHIELD, que desaparece del registro cuando entra en uso, hemos podido “cazarlo” gracias a la coaboracion de nuestros clientes, dandoles las indicaciones para ello, pero indudablemente con mucha pericia por su parte 🙂

Debido a que VirusTotal hoy está saturado, con una cola de mas de 2500 examenes pendientes, hemos optado por otro analizador global, que aunque con 7 motores menos, nos ofrece similares resultados:

Scanned time   : 2011/02/14 18:45:53 (CET)
Scanner results: 19% Escaner (7/37) encontró infección
File Name      : ugwnkrxdl.exe
File Size      : 285696 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 1642a1d9b23d812e97c72af68bbe2d55
SHA1           : ff0b13855215ec1e6f65a6a94afb25b3496c25d4

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110209020254    2011-02-09  0.10   –
AhnLab V3      2011.02.14.01   2011.02.14        2011-02-14  0.08   –
AntiVir        8.2.4.166       7.11.3.79         2011-02-14  0.32   TR/Crypt.XPACK.Gen2
Antiy          2.0.18          2.0.18.           0002-18-00  0.02   –
Arcavir        2010            201102142356      2011-02-14  0.10   –
Authentium     5.1.1           201102141048      2011-02-14  1.59   –
AVAST!         4.7.4           110214-0          2011-02-14  0.02   Win32:Adware-gen [Adw]
AVG            8.5.850         271.1.1/3443      2011-02-14  0.37   –
BitDefender    7.90123.6674717 7.36250           2011-02-15  6.31   Gen:Variant.Oficla.10
ClamAV         0.96.5          12687             2011-02-14  0.05   Trojan.Fakesec-311
Comodo         4.0             7687              2011-02-14  0.08   –
CP Secure      1.3.0.5         2011.02.13        2011-02-13  0.00   –
Dr.Web         5.0.2.3300      2011.02.15        2011-02-15  11.13  –
F-Prot         4.4.4.56        20110214          2011-02-14  1.52   –
F-Secure       7.02.73807      2011.02.14.07     2011-02-14  0.15   –
Fortinet       4.2.254         12.895            2011-02-14  0.08   –
GData          21.1785/21.685  20110214          2011-02-14  0.08   –
ViRobot        20110214        2011.02.14        2011-02-14  0.08   –
Ikarus         T3.1.32.15.0    2011.02.14.77735  2011-02-14  4.93   Gen.Variant.Oficla
JiangMin       13.0.900        2011.02.14        2011-02-14  0.09   –
Kaspersky      5.5.10          2011.02.14        2011-02-14  0.18   –
KingSoft       2009.2.5.15     2011.2.14.18      2011-02-14  0.09   –
McAfee         5400.1158       6257              2011-02-14  8.31   FakeAlert-SecurityTool.ab
Microsoft      1.6502          2011.02.14        2011-02-14  0.09   –
NOD32          3.0.21          5870              2011-02-13  0.00   Win32/Adware.SecurityShield.A application
Norman         6.07.03         6.07.00           2011-02-11  10.01  –
Panda          9.05.01         2011.02.14        2011-02-14  0.09   –
Trend Micro    9.200-1012      7.836.07          2011-02-14  0.05   –
Quick Heal     11.00           2011.02.14        2011-02-14  0.09   –
Rising         20.0            23.45.00.00       2011-02-14  0.10   –
Sophos         3.16.1          4.62              2011-02-14  3.12   –
Sunbelt        3.9.2474.2      8418              2011-02-14  0.08   –
Symantec       1.3.0.24        20110213.003      2011-02-13  0.07   –
nProtect       20110210.01     3141850           2011-02-10  0.08   –
The Hacker     6.7.0.1         v00130            2011-02-13  0.08   –
VBA32          3.12.14.3       20110213.1832     2011-02-13  3.48   –
VirusBuster    5.2.0.28        13.6.199.0/44910792011-02-14  0.00   –
Como vemos, ni AVG, ni Kaspersky, ni Microsoft, ni Panda, ni Trend, ni SOPHOS, NI sYMANTEC , entre los AV conocidos, aun no lo detectan, asi que mucho cuidado…

Implementaremos en el ELISTARA 22.61 SU CONTROL Y ELIMINACION, pero de momento se puede cazar con el ELIMD5,  indicando este hash:  1642a1d9b23d812e97c72af68bbe2d55  , lo cual ya pondrá en cuarentena dicho malware a partir del proximom reinicio.

saludos

ms, 14-2-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies