Nueva variante de FAKE AV XP SECURITY no detectado actualmente por casi ningun AV habitual (ver anexo, con nuevo informe al final del día)

Nos llegan de un cliente muestras de ficheros sospechosos vistos en procesos del Administrador de tareas, y que si son renombrados, deja de poder ejecutarse EXE’s, lo cual es típico en muchos malwares que se protegen interceptando los EXE FILES, para bloquear el ordenador si se elimina el fichero malware.

Se trata de una variante del FAKE AV XP SECURITY , de los que ya conocemos varios que hacen lo mismo, y que ya controlamos con el actual ELISTARA, y este nuevo pasamos a controlarlo a partir de la version 23.15 de hoy

El preanalisis ofrece este resultado:

Scanned time   : 2011/05/04 13:05:59 (CEST)
Scanner results: 3% Escaner (1/37) encontró infección
File Name      : sgu.vir
File Size      : 348160 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 1074949570ac1632c60ca40f8249583a
SHA1           : a7ae1fb6c11071bd09a3298fc6ca7775c5976aed

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110504011159    2011-05-04  40.10  –
AhnLab V3      2011.05.04.00   2011.05.04        2011-05-04  40.09  –
AntiVir        8.2.4.226       7.11.7.125        2011-05-04  0.29   –
Antiy          2.0.18          20110205.7694535  2011-02-05  0.12   –
Arcavir        2011            201103241627      2011-03-24  0.06   –
Authentium     5.1.1           201105040145      2011-05-04  1.98   –
AVAST!         4.7.4           110503-1          2011-05-03  0.03   –
AVG            8.5.850         271.1.1/3613      2011-05-03  1.75   –
BitDefender    7.90123.7225498 7.37348           2011-05-04  5.76   –
ClamAV         0.96.5          13043             2011-05-04  0.01   –
Comodo         4.0             8571              2011-05-03  40.09  –
CP Secure      1.3.0.5         2011.05.01        2011-05-01  0.08   –
Dr.Web         5.0.2.3300      2011.05.04        2011-05-04  12.65  –
F-Prot         4.4.4.56        20110503          2011-05-03  2.05   –
F-Secure       7.02.73807      2011.05.04.03     2011-05-04  0.24   –
Fortinet       4.2.257         13.179            2011-05-03  40.11  –
GData          22.237/22.76    20110504          2011-05-04  40.09  –
ViRobot        20110503        2011.05.03        2011-05-03  40.09  –
Ikarus         T3.1.32.20.0    2011.05.04.78316  2011-05-04  6.56   –
JiangMin       13.0.900        2011.05.03        2011-05-03  40.09  –
Kaspersky      5.5.10          2011.05.04        2011-05-04  0.11   –
KingSoft       2009.2.5.15     2011.5.4.12       2011-05-04  40.09  –
McAfee         5400.1158       6320              2011-04-18  8.64   –
Microsoft      1.6802          2011.05.04        2011-05-04  40.09  –
NOD32          3.0.21          6091              2011-05-03  0.70   a variant of Win32/Kryptik.NIO trojan
Norman         6.07.08         6.07.00           2011-05-03  16.02  –
Panda          9.05.01         2011.05.02        2011-05-02  40.09  –
Trend Micro    9.200-1012      8.136.04          2011-05-04  0.06   –
Quick Heal     11.00           2011.05.03        2011-05-03  40.09  –
Rising         20.0            23.56.01.06       2011-05-03  40.10  –
Sophos         3.18.0          4.64              2011-05-04  3.70   –
Sunbelt        3.9.2491.2      9190              2011-05-03  40.09  –
Symantec       1.3.0.24        20110503.003      2011-05-03  0.21   –
nProtect       20110504.01     3431809           2011-05-04  40.09  –
The Hacker     6.7.0.1         v00176            2011-04-18  40.09  –
VBA32          3.12.16.0       20110501.1545     2011-05-01  4.75   –
VirusBuster    5.2.0.28        13.6.334.0/51152482011-05-03  0.00   –
A partir de la version de hoy del ELISTARA 23.15, que estará disponible en nuestra web a partir de las 19 h CEST de hoy, se controlará esta nueva variante.

Como colofón a lo indicado, como que si se renombra o elimina el malware, no se puede ejecutar ningun EXE por interceptar los “EXE FILES”, para poder entonces ejecutar el ELISTARA, debe cambiarsele la extension y ejecutarlo como ELISTARa.SCR   por ejemplo, lo cual aunque ya no encuentre el malware por haber sido eliminado anteriormente, restaurará la clave afectada y devolverá la normalidad a la ejecucion de EXE’s.

saludos

ms, 4-5-2011

NOTA : Debe ser incipiente, pues ya hemos dicho que casi no lo detecta nadie. Ya hemos enviado muestra del mismo a McAfee para que pasen a controlarlo en proximos DAT, por lo que posiblemente hoy mismo pasará a estar controlado por el VIRUSSCAN.

__________

ANEXO POSTEDICION:
Ya antes de terminar la jornada laboral, hemos querido ver los AV QUE YA LO CONTROLABAN; Y a lo largo de hoy algunos se han puesto las pilas, llegando a ser 9 de 41 los que ya lo detectan actualmente (incluido McAfee, a quien hemos enviado urgentemente la muestra esta mañana)
File name: sgu.vir
Submission date: 2011-05-04 15:50:42 (UTC)
Current status: finished
Result: 9 /41 (22.0%)
 VT Community

malware
 Safety score: 0.0% 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.05.04.01 2011.05.04 –
AntiVir 7.11.7.150 2011.05.04 –
Antiy-AVL 2.0.3.7 2011.05.04 –
Avast 4.8.1351.0 2011.05.04 –
Avast5 5.0.677.0 2011.05.04 –
AVG 10.0.0.1190 2011.05.04 –
BitDefender 7.2 2011.05.04 –
CAT-QuickHeal 11.00 2011.05.04 (Suspicious) – DNAScan
ClamAV 0.97.0.0 2011.05.04 –
Commtouch 5.3.2.6 2011.05.04 –
Comodo 8579 2011.05.04 –
DrWeb 5.0.2.03300 2011.05.04 Trojan.Packed.2000
eSafe 7.0.17.0 2011.05.04 –
eTrust-Vet 36.1.8306 2011.05.04 –
F-Prot 4.6.2.117 2011.05.04 –
F-Secure 9.0.16440.0 2011.05.04 –
Fortinet 4.2.257.0 2011.05.04 W32/FakeAlert.CN!tr
GData 22 2011.05.04 –
Ikarus T3.1.1.103.0 2011.05.04 –
Jiangmin 13.0.900 2011.05.03 –
K7AntiVirus 9.100.4563 2011.05.04 –
Kaspersky 9.0.0.837 2011.05.04 Trojan.Win32.Menti.gjac
McAfee 5.400.0.1158 2011.05.04 FakeAlert-Rena.c
McAfee-GW-Edition 2010.1D 2011.05.04 –
Microsoft 1.6802 2011.05.04 –
NOD32 6094 2011.05.04 a variant of Win32/Kryptik.NIO
Norman 6.07.07 2011.05.04 –
Panda 10.0.3.5 2011.05.04 –
PCTools 7.0.3.5 2011.05.04 –
Prevx 3.0 2011.05.04 –
Rising 23.56.02.06 2011.05.04 –
Sophos 4.64.0 2011.05.04 Mal/FakeAV-JR
SUPERAntiSpyware 4.40.0.1006 2011.05.04 Trojan.Agent/Gen-FakeAlerter
Symantec 20101.3.2.89 2011.05.04 –
TheHacker 6.7.0.1.187 2011.05.03 –
TrendMicro 9.200.0.1012 2011.05.04 –
TrendMicro-HouseCall 9.200.0.1012 2011.05.04 –
VBA32 3.12.16.0 2011.05.04 –
VIPRE 9192 2011.05.04 FraudTool.Win32.FakeRean.g (v)
ViRobot 2011.5.4.4446 2011.05.04 –
VirusBuster 13.6.335.1 2011.05.04 –
Additional informationShow all 
MD5   : 1074949570ac1632c60ca40f8249583a
SHA1  : a7ae1fb6c11071bd09a3298fc6ca7775c5976aed
File size : 348160 bytes
publisher….: Microsoft Corporation
copyright….: (c) Microsoft Corporation. All rights reserved.
product……: Windows_ Internet Explorer
description..: WinFX Runtime Components
original name: WinFXDocObj.exe
internal name: WinFXDocObj.exe
file version.: 8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
 
con ello ya empieza a estar mas controlado y disminuye el riesgo de propagacion / infeccion.

Además, con el ELISTARA 23.15 TAMBIEN SE CONTROLA Y ELIMINA.
ms, 18 h CEST del 4-5-2011