Nueva variante de PROXY-EXI, de los que envian al usuario, en las busquedas de Google, a otras webs

Uno de los tres que forman el consabido PROXY-EXI, el de nombre fijo (pero con ubicacion variable) pasa a ser controlado a partir del ELISTARA 24-36 de hoy

Los demás pueden tener nombre y ubicacion variable, si bien la heuristica del ELUISTARA caza uno de ellos por la clave, pero es la totalidda lo que hace falta para evitar la regeneracion, y el consiguiente redireccionamiento a la web deseada.

Por ejemplo otro caso que hemos tenido hoy, los tres ficheros eran visibles con el SPROCES, los cuales ya hemos pedido al usuario en cuestion:
C:\PROGRAM FILES\425CF\LVVM.EXE

C:\PROGRAM FILES\LP\9232\150.EXE

C:\Users\Administrador\AppData\Roaming\24B42\19892.exe

pero a excepcion del primero, los nombres de los demás son aleatorios…

En este caso el preanalisis de virustotal ofrece el siguiente informe:
File name: lvvm.exe
Submission date: 2011-11-28 15:51:05 (UTC)

Result: 18/ 43 (41.9%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.11.28.00 2011.11.28 –
AntiVir 7.11.18.107 2011.11.28 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2011.11.28 –
Avast 6.0.1289.0 2011.11.28 Win32:Jorik-DL [Trj]
AVG 10.0.0.1190 2011.11.28 –
BitDefender 7.2 2011.11.28 Gen:Variant.Cycbot.1
ByteHero 1.0.0.1 2011.11.14 Trojan.Win32.Heur.Gen
CAT-QuickHeal 12.00 2011.11.28 –
ClamAV 0.97.3.0 2011.11.28 –
Commtouch 5.3.2.6 2011.11.28 –
Comodo 10791 2011.11.27 –
DrWeb 5.0.2.03300 2011.11.28 BackDoor.Gbot.1877
Emsisoft 5.1.0.11 2011.11.28 Backdoor.Win32.Cycbot!IK
eSafe 7.0.17.0 2011.11.28 –
eTrust-Vet 37.0.9590 2011.11.28 –
F-Prot 4.6.5.141 2011.11.28 –
F-Secure 9.0.16440.0 2011.11.28 Gen:Variant.Graftor.5791
Fortinet 4.3.370.0 2011.11.27 –
GData 22.289/22.536 2011.11.28 Gen:Variant.Cycbot.1
Ikarus T3.1.1.109.0 2011.11.28 Backdoor.Win32.Cycbot
Jiangmin 13.0.900 2011.11.28 –
K7AntiVirus 9.119.5542 2011.11.25 Backdoor
Kaspersky 9.0.0.837 2011.11.28 Trojan.Win32.Jorik.Gbot.sfs
McAfee 5.400.0.1158 2011.11.28 BackDoor-EXI.gen.aa
McAfee-GW-Edition 2010.1D 2011.11.28 BackDoor-EXI.gen.aa
Microsoft 1.7801 2011.11.28 Backdoor:Win32/Cycbot.G
NOD32 6666 2011.11.28 a variant of Win32/Kryptik.WDN
Norman 6.07.13 2011.11.28 –
nProtect 2011-11-28.02 2011.11.28 Gen:Variant.Graftor.5791
Panda 10.0.3.5 2011.11.27 Trj/CI.A
PCTools 8.0.0.5 2011.11.28 –
Prevx 3.0 2011.11.28 –
Rising 23.86.00.01 2011.11.28 –
Sophos 4.71.0 2011.11.28 –
SUPERAntiSpyware 4.40.0.1006 2011.11.26 –
Symantec 20111.2.0.82 2011.11.28 –
TheHacker 6.7.0.1.350 2011.11.27 –
TrendMicro 9.500.0.1008 2011.11.28 –
TrendMicro-HouseCall 9.500.0.1008 2011.11.28 –
VBA32 3.12.16.4 2011.11.28 –
VIPRE 11170 2011.11.28 Trojan.Win32.Generic!BT
ViRobot 2011.11.28.4797 2011.11.28 –
VirusBuster 14.1.88.0 2011.11.28 –
Additional informationShow all
MD5   : f7ed846ac8ac021fc17f6d0d88b1af86
SHA1  : 9730b9cfd2cb0669b105edf1fc4fba8870460d84
File size : 187904 bytes
Dicho ELISTARA que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy, y con el mismo pedirá (y aparcará) muestra del otro heuristicamente controlado, que es el C:\PROGRAM FILES\LP\9232\150.EXE, y el tercero en discordia, con el SPROCES podremos saber como se llama y donde esta, pues aunque sabemos que cuelga de C:\Users\Administrador\AppData\Roaming\ , la siguiente carpeta y su nombre solo podemos extrapolarla con el log del SPROCES, pero requiere participacion manual.

Se recuerda que este malware instala un proxy que utiliza para desviar la navegacion, y que debera ser eliminado del registro *muy facil con el SPROCES).

saludos

ms, 28/11/2011