Nueva variante de UNRUY.H
Es de una familia de troyanos, con caracteristicas singulares:
Modifica todos los ficheros que encuentre en las claves de O4-RUN … añadiendo un espacio antes del punto de la extension, y en su lugar ponen una copia del malware, por lo que se lanzará en cada reinicio.
Además, por si no tuviera ningun RUN , instala 24 tareas programadas (una cada hora) lanzando dicho malware en el fichero con el nombre de ISWPKNSW.COM de la carpeta FONTS de la carpeta de windows, carpeta que no se ve desde windows al ser especial de fuentes
Algo similar ya hacía la anterior version del UNRUY que ya controlabamos, y esta la pasamos a controlar como UNRUY.H a partir del ELISTARA 23.67 de hoy
Arrancando en MODO SEGURO, si se encuentra algun fichero infectado con dicho virus, despues de eliminarlo, el ELISTARA buscará el fichero del mismo nombre pero con un espacio, y lo renombrará a como era originalmente. Pero en modo normal no podría hacerlo, al estar en uso debido a ser lanzado en un RUN, por esto conviene que se arramque en MODO SEGURO para ello.
El preanalisis con virustotal ofrece el siguiente informe:
File name:
Iaanotif.exe.vir
Submission date:
2011-07-20 08:47:11 (UTC)
Current status:
finished
Result:
32 /43 (74.4%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.20.01 2011.07.20 Win-Trojan/Unruy.40452
AntiVir 7.11.11.238 2011.07.20 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.07.15 –
Avast 4.8.1351.0 2011.07.20 Win32:Dropper-HFI [Drp]
Avast5 5.0.677.0 2011.07.20 Win32:Dropper-HFI [Drp]
AVG 10.0.0.1190 2011.07.20 Dropper.Generic4.GDQ
BitDefender 7.2 2011.07.20 Gen:Variant.Kates.2
CAT-QuickHeal 11.00 2011.07.20 –
ClamAV 0.97.0.0 2011.07.20 –
Commtouch 5.3.2.6 2011.07.20 –
Comodo 9446 2011.07.20 –
DrWeb 5.0.2.03300 2011.07.20 Trojan.MulDrop2.41594
Emsisoft 5.1.0.8 2011.07.20 Gen.Trojan.Heur!IK
eSafe 7.0.17.0 2011.07.19 –
eTrust-Vet 36.1.8453 2011.07.19 Win32/AdClicker.EEX
F-Prot 4.6.2.117 2011.07.20 –
F-Secure 9.0.16440.0 2011.07.20 Gen:Variant.Kates.2
Fortinet 4.2.257.0 2011.07.20 W32/Cycler.ALFK!tr
GData 22 2011.07.20 Gen:Variant.Kates.2
Ikarus T3.1.1.104.0 2011.07.20 Gen.Trojan.Heur
Jiangmin 13.0.900 2011.07.19 TrojanClicker.Cycler.bge
K7AntiVirus 9.108.4924 2011.07.19 Trojan
Kaspersky 9.0.0.837 2011.07.20 Trojan-Clicker.Win32.Cycler.alfk
McAfee 5.400.0.1158 2011.07.20 Downloader-CIS.gen.b
McAfee-GW-Edition 2010.1D 2011.07.20 –
Microsoft 1.7000 2011.07.20 TrojanDownloader:Win32/Unruy.H
NOD32 6308 2011.07.20 Win32/TrojanDownloader.Unruy.BN
Norman 6.07.10 2011.07.19 W32/Injector.APN
nProtect 2011-07-20.01 2011.07.20 Gen:Variant.Kates.2
Panda 10.0.3.5 2011.07.19 Trj/Clicker.ATP
PCTools 8.0.0.5 2011.07.13 Trojan.Gen
Prevx 3.0 2011.07.20 –
Rising 23.67.02.03 2011.07.20 Trojan.Win32.Fednu.fus
Sophos 4.67.0 2011.07.20 Sus/UnkPack-C
SUPERAntiSpyware 4.40.0.1006 2011.07.20 –
Symantec 20111.1.0.186 2011.07.20 Trojan.Gen
TheHacker 6.7.0.1.257 2011.07.18 Trojan/Clicker.Cycler.alfk
TrendMicro 9.200.0.1012 2011.07.20 Mal_Xed-24
TrendMicro-HouseCall 9.200.0.1012 2011.07.20 Mal_Xed-24
VBA32 3.12.16.4 2011.07.19 Malware-Cryptor.Limpopo
VIPRE 9904 2011.07.19 Trojan.Win32.Generic!BT
ViRobot 2011.7.20.4578 2011.07.20 –
VirusBuster 14.0.130.1 2011.07.19 Trojan.DL.Unruy!MKXBzjZd26o
Additional information
MD5 : cf1d037e12a03da61eb0c8db5307efa8
SHA1 : b5a854a58ef3b3261ed8f9e5b5fd4c36a89a48ac
File size : 40456 bytes
Dicha version del ELISTARA 23.67 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST
saludos
ms, 20-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.