Nueva variante de UNRUY.H

Es de una familia de troyanos, con caracteristicas singulares:

Modifica todos los ficheros que encuentre en las claves de O4-RUN …  añadiendo un espacio antes del punto de la extension, y en su lugar ponen una copia del malware, por lo que se lanzará en cada reinicio.

Además, por si no tuviera ningun RUN , instala 24 tareas programadas (una cada hora) lanzando dicho malware en el fichero con el nombre de ISWPKNSW.COM de la carpeta FONTS de la carpeta de windows, carpeta que no se ve desde windows al ser especial de fuentes

Algo similar ya hacía la anterior version del UNRUY que ya controlabamos, y esta la pasamos a controlar como UNRUY.H a partir del ELISTARA 23.67 de hoy

Arrancando en MODO SEGURO, si se encuentra algun fichero infectado con dicho virus, despues de eliminarlo, el ELISTARA buscará el fichero del mismo nombre pero con un espacio, y lo renombrará a como era originalmente. Pero en modo normal no podría hacerlo, al estar en uso debido a ser lanzado en un RUN, por esto conviene que se arramque en MODO SEGURO para ello.
El preanalisis con virustotal ofrece el siguiente informe:

File name:
Iaanotif.exe.vir
Submission date:
2011-07-20 08:47:11 (UTC)
Current status:
finished
Result:
32 /43 (74.4%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.07.20.01  2011.07.20  Win-Trojan/Unruy.40452
AntiVir  7.11.11.238  2011.07.20  TR/Dropper.Gen
Antiy-AVL  2.0.3.7  2011.07.15  –
Avast  4.8.1351.0  2011.07.20  Win32:Dropper-HFI [Drp]
Avast5  5.0.677.0  2011.07.20  Win32:Dropper-HFI [Drp]
AVG  10.0.0.1190  2011.07.20  Dropper.Generic4.GDQ
BitDefender  7.2  2011.07.20  Gen:Variant.Kates.2
CAT-QuickHeal  11.00  2011.07.20  –
ClamAV  0.97.0.0  2011.07.20  –
Commtouch  5.3.2.6  2011.07.20  –
Comodo  9446  2011.07.20  –
DrWeb  5.0.2.03300  2011.07.20  Trojan.MulDrop2.41594
Emsisoft  5.1.0.8  2011.07.20  Gen.Trojan.Heur!IK
eSafe  7.0.17.0  2011.07.19  –
eTrust-Vet  36.1.8453  2011.07.19  Win32/AdClicker.EEX
F-Prot  4.6.2.117  2011.07.20  –
F-Secure  9.0.16440.0  2011.07.20  Gen:Variant.Kates.2
Fortinet  4.2.257.0  2011.07.20  W32/Cycler.ALFK!tr
GData  22  2011.07.20  Gen:Variant.Kates.2
Ikarus  T3.1.1.104.0  2011.07.20  Gen.Trojan.Heur
Jiangmin  13.0.900  2011.07.19  TrojanClicker.Cycler.bge
K7AntiVirus  9.108.4924  2011.07.19  Trojan
Kaspersky  9.0.0.837  2011.07.20  Trojan-Clicker.Win32.Cycler.alfk
McAfee  5.400.0.1158  2011.07.20  Downloader-CIS.gen.b
McAfee-GW-Edition  2010.1D  2011.07.20  –
Microsoft  1.7000  2011.07.20  TrojanDownloader:Win32/Unruy.H
NOD32  6308  2011.07.20  Win32/TrojanDownloader.Unruy.BN
Norman  6.07.10  2011.07.19  W32/Injector.APN
nProtect  2011-07-20.01  2011.07.20  Gen:Variant.Kates.2
Panda  10.0.3.5  2011.07.19  Trj/Clicker.ATP
PCTools  8.0.0.5  2011.07.13  Trojan.Gen
Prevx  3.0  2011.07.20  –
Rising  23.67.02.03  2011.07.20  Trojan.Win32.Fednu.fus
Sophos  4.67.0  2011.07.20  Sus/UnkPack-C
SUPERAntiSpyware  4.40.0.1006  2011.07.20  –
Symantec  20111.1.0.186  2011.07.20  Trojan.Gen
TheHacker  6.7.0.1.257  2011.07.18  Trojan/Clicker.Cycler.alfk
TrendMicro  9.200.0.1012  2011.07.20  Mal_Xed-24
TrendMicro-HouseCall  9.200.0.1012  2011.07.20  Mal_Xed-24
VBA32  3.12.16.4  2011.07.19  Malware-Cryptor.Limpopo
VIPRE  9904  2011.07.19  Trojan.Win32.Generic!BT
ViRobot  2011.7.20.4578  2011.07.20  –
VirusBuster  14.0.130.1  2011.07.19  Trojan.DL.Unruy!MKXBzjZd26o
Additional information
MD5   : cf1d037e12a03da61eb0c8db5307efa8
SHA1  : b5a854a58ef3b3261ed8f9e5b5fd4c36a89a48ac

File size : 40456 bytes

Dicha version del ELISTARA 23.67 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST

saludos

ms, 20-7-2011