Nueva variante de FAKE TOOL SYSTEM RECOVERY, que oculta el escritorio…

Otra vez una variante de esta familia de malwares que aparentan ser un SYSTEM RECOVERY pero que no son mas que FAKE TOOLS, y que además ocultan el escritorio de la vista del usuario, y a poco que se descuide, puede que pierda los links del mismo.

El ELISTARA lo ha cazado heuristicamente y tras analizar la muestra enviada, la versión 23.86 de hoy  ya lo controlará específicamente.

Incluso si el usuario no ha eliminado los temporales del user infectado (Documents and Settings\<user>\configuracion local\temp\ en XP), a mano o con alguna utilidad que haya utilizado, el ELISTARA no solo eliminará dicho malware sino que restaurará los enlaces del escritorio, de forma que,  tras reiniciar, ya se volverá a la normalidad.

El preanálisis del VirusTotal ofrece este informe del fichero analizado:

File name:
EWRTMFETFY.EXE.Muestra EliStartPage v23.85
Submission date:
2011-09-13 15:04:45 (UTC)
Current status:
finished
Result:
16/ 44 (36.4%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3 2011.09.12.01 2011.09.13 Trojan/Win32.FakeAV
AntiVir 7.11.14.184 2011.09.13 –
Antiy-AVL 2.0.3.7 2011.09.13 –
Avast 4.8.1351.0 2011.09.13 –
Avast5 5.0.677.0 2011.09.13 –
AVG 10.0.0.1190 2011.09.13 –
BitDefender 7.2 2011.09.13 Trojan.Generic.KD.356823
ByteHero None 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.13 (Suspicious) – DNAScan
ClamAV 0.97.0.0 2011.09.13 –
Commtouch 5.3.2.6 2011.09.13 –
Comodo 10098 2011.09.13 –
DrWeb 5.0.2.03300 2011.09.13 –
Emsisoft 5.1.0.11 2011.09.13 –
eSafe 7.0.17.0 2011.09.13 –
eTrust-Vet 36.1.8556 2011.09.13 –
F-Prot 4.6.2.117 2011.09.13 –
F-Secure 9.0.16440.0 2011.09.13 Trojan.Generic.KD.356823
Fortinet 4.3.370.0 2011.09.11 –
GData 22 2011.09.13 Trojan.Generic.KD.356823
Ikarus T3.1.1.107.0 2011.09.13 –
Jiangmin 13.0.900 2011.09.13 –
K7AntiVirus 9.112.5122 2011.09.12 –
Kaspersky 9.0.0.837 2011.09.13 Trojan.Win32.Jorik.Fraud.dnd
McAfee 5.400.0.1158 2011.09.13 Generic FakeAlert.by
McAfee-GW-Edition 2010.1D 2011.09.12 –
Microsoft 1.7604 2011.09.13 Trojan:Win32/FakeSysdef
NOD32 6459 2011.09.13 a variant of Win32/Kryptik.STC
Norman 6.07.11 2011.09.13 –
nProtect 2011-09-13.01 2011.09.13 Gen:Variant.Kazy.37488
Panda 10.0.3.5 2011.09.13 Trj/CI.A
PCTools 8.0.0.5 2011.09.13 –
Prevx 3.0 2011.09.13 –
Rising 23.74.03.03 2011.09.09 –
Sophos 4.69.0 2011.09.13 Troj/FakeAV-ENC
SUPERAntiSpyware 4.40.0.1006 2011.09.13 Trojan.Agent/Gen-FakeSoft[DCom]
Symantec 20111.2.0.82 2011.09.13 –
TheHacker 6.7.0.1.293 2011.09.10 –
TrendMicro 9.500.0.1008 2011.09.13 TROJ_FAKEAV.SM48
TrendMicro-HouseCall 9.500.0.1008 2011.09.13 TROJ_FAKEAV.SM48
VBA32 3.12.16.4 2011.09.13 –
VIPRE 10463 2011.09.13 Trojan.Win32.Generic.pak!cobra
ViRobot 2011.9.10.4666 2011.09.13 –
VirusBuster 14.0.210.1 2011.09.13 –
Additional information
MD5   : eff47af392824ec9e4b804b7284791a1
SHA1  : 8c61ac6a6ccbbbe81579d54058e94519e1d4c4fb

File size : 450560 bytes

copyright….: Copyright (C) 2010
product……: DCOM Manager
description..: DCOM Manager
original name: dcommgr.exe
internal name: DCOMMGR
file version.: 1, 10, 0, 1

Dicha versión del ELISTARA 23.86 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Recomendamos disponer de dicha utilidad en un pendrive, arrancar el ordenador en MODO SEGURO y desde dicho pendrive ejecutarla hasta el final, y tras acabar, reiniciar y ver el resultado.

saludos

ms, 13-9-2011