NUEVA VARIANTE DE PROXY-EXI cazada por la heuristica del ELISTARA

A partir del ELISTARA 24.37 de hoy, pasamos a controlar esta nueva variante de PROXY-EXI que se caracteriza por desviar al usuario de los enlaces ofrecido por GOOGLE y llevarlo a otras webs en su lugar.

El preanalisis de VirusTotal ofrece el siguiente informe:

File name: AFHOST.EXE.Muestra EliStartPage v24.35
Submission date: 2011-11-29 10:30:40 (UTC)

Result: 23/ 39 (59.0%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.11.29.00 2011.11.29 Trojan/Win32.Jorik
AntiVir 7.11.18.115 2011.11.29 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2011.11.29 Trojan/Win32.Jorik.gen
Avast 6.0.1289.0 2011.11.29 Win32:Jorik-DL [Trj]
AVG 10.0.0.1190 2011.11.29 –
BitDefender 7.2 2011.11.29 Gen:Variant.Kazy.45921
ByteHero 1.0.0.1 2011.11.29 Trojan.Win32.Heur.Gen
CAT-QuickHeal 12.00 2011.11.29 (Suspicious) – DNAScan
ClamAV 0.97.3.0 2011.11.29 –
Commtouch 5.3.2.6 2011.11.29 –
Comodo 10793 2011.11.29 UnclassifiedMalware
Emsisoft 5.1.0.11 2011.11.29 Backdoor.Win32.Cycbot!IK
eSafe 7.0.17.0 2011.11.28 –
eTrust-Vet 37.0.9591 2011.11.28 Win32/Cycbot.JO!generic
F-Prot 4.6.5.141 2011.11.28 –
F-Secure 9.0.16440.0 2011.11.29 Gen:Variant.Kazy.45921
Fortinet 4.3.370.0 2011.11.29 –
GData 22 2011.11.29 Gen:Variant.Kazy.45921
Ikarus T3.1.1.109.0 2011.11.29 Backdoor.Win32.Cycbot
Jiangmin 13.0.900 2011.11.28 –
K7AntiVirus 9.119.5555 2011.11.28 Backdoor
McAfee-GW-Edition 2010.1D 2011.11.29 BackDoor-EXI.gen.aa
Microsoft 1.7801 2011.11.29 Backdoor:Win32/Cycbot.G
NOD32 6668 2011.11.29 Win32/Cycbot.AK
nProtect 2011-11-29.01 2011.11.29 Gen:Variant.Kazy.45921
Panda 10.0.3.5 2011.11.28 Bck/Cycbot.F
PCTools 8.0.0.5 2011.11.29 –
Prevx 3.0 2011.11.29 –
Rising 23.86.01.02 2011.11.29 –
Sophos 4.71.0 2011.11.29 Mal/FakeAV-IS
SUPERAntiSpyware 4.40.0.1006 2011.11.29 Trojan.Agent/Gen-Cycbot
Symantec 20111.2.0.82 2011.11.29 –
TheHacker 6.7.0.1.350 2011.11.27 –
TrendMicro 9.500.0.1008 2011.11.29 –
TrendMicro-HouseCall 9.500.0.1008 2011.11.29 TROJ_GEN.RC1C7KR
VBA32 3.12.16.4 2011.11.28 –
VIPRE 11174 2011.11.29 Trojan.Win32.Generic!BT
ViRobot 2011.11.29.4799 2011.11.29 –
VirusBuster 14.1.89.0 2011.11.28 –
Additional informationShow all
MD5   : f4d0a60848aa701fc8e366b4102099ca
SHA1  : 8ef9c9f78fe44e864be84667a7f55e43b8d03b51

File size : 284160 bytes
Dicha version del ELISTARA 24.37 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

Se recuerda que estos PROXY-EXY dejan instalado un proxy que ya no funcionará cuando se elimine el malware, pero que impedirá navegar, por lo que deberá rastaurarse la normalidad eliminandolo, bien configurando el proxy adecuadamente o eliminando la clave de dicho proxy con el SPROCES, por ejemplo lanzando el SPROCES -> SCAN -> MARCAR LA SIGUIENTE CLAVE y pulsar en ELIMINAR :

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:57414 (1)

saludos

ms, 29-11-2011