Nueva variante de virus infector W32/Swisyn.ag recibido hoy en muestras pedidas por el ELISTARA

El ELISTARA pide muestras (por defecto) de EXPLORER.EXE, SVCHOST.EXE y de SPOOLSV.EXE por ser sospechosos al estar ubicados en carpeta atípica, y en ellos hemos visto que hay el foco de propagacion del W32/Swisyn.ag, habiendo sido eliminados ademas de crear copia en C:\muestras y pedido que se enviaran para analizar.

Vemos que es un virus infector mas complejo, que primero infecta el fichero usado, y luego afecta a los ficheros de los pendrives, cambiandoles su icono por el primero existente en la carpeta del fichero usado.

Como sea que se trata de virus infector, debe tratarse el dispositivo infectado con un antivirus que lo controle, como por ejemplo McAfee, como puede verse en el analisis de VirusTotal sobre el fichero regedit del sistema infectado por este virus:

File name: regedit.exe
Submission date: 2011-02-22 11:37:21 (UTC)

Result: 32/ 43 (74.4%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Swisyn
AntiVir 7.11.3.178 2011.02.22 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.02.22 Trojan/Win32.Swisyn.gen
Avast 4.8.1351.0 2011.02.22 Win32:VB-OJQ
Avast5 5.0.677.0 2011.02.22 Win32:VB-OJQ
AVG 10.0.0.1190 2011.02.22 VB.APCQ
BitDefender 7.2 2011.02.22 Trojan.Generic.5429328
CAT-QuickHeal 11.00 2011.02.22 Trojan.Mofksys.A
ClamAV 0.96.4.0 2011.02.22 –
Commtouch 5.2.11.5 2011.02.22 W32/VB.AD.gen!Eldorado
Comodo 7770 2011.02.22 –
DrWeb 5.0.2.03300 2011.02.22 Trojan.MulDrop1.63756
Emsisoft 5.1.0.2 2011.02.22 Trojan.Win32.VB!IK
eSafe 7.0.17.0 2011.02.21 –
eTrust-Vet 36.1.8175 2011.02.22 Win32/Swisyn.DX
F-Prot 4.6.2.117 2011.02.21 W32/VB.AD.gen!Eldorado
F-Secure 9.0.16160.0 2011.02.22 Trojan.Generic.5429328
Fortinet 4.2.254.0 2011.02.22 –
GData 21 2011.02.22 Trojan.Generic.5429328
Ikarus T3.1.1.97.0 2011.02.22 Trojan.Win32.VB
Jiangmin 13.0.900 2011.02.22 Trojan/Swisyn.oyi
K7AntiVirus 9.88.3927 2011.02.22 Riskware
Kaspersky 7.0.0.125 2011.02.22 Trojan.Win32.Swisyn.auzw
[b][i]McAfee 5.400.0.1158 2011.02.22 W32/Swisyn.ag
McAfee-GW-Edition 2010.1C 2011.02.22 W32/Swisyn.ag[/i][/b]
Microsoft 1.6502 2011.02.22 Trojan:Win32/VB.AEI
NOD32 5895 2011.02.22 a variant of Win32/VB.OSK
Norman 6.07.03 2011.02.22 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.21 Generic Trojan
PCTools 7.0.3.5 2011.02.22 Malware.Gosys
Prevx 3.0 2011.02.22 –
Rising 23.46.01.05 2011.02.22 –
Sophos 4.61.0 2011.02.22 W32/Mofksys-B
SUPERAntiSpyware 4.40.0.1006 2011.02.22 Trojan.Agent/Gen-VBFake
Symantec 20101.3.0.103 2011.02.22 W32.Gosys
TheHacker 6.7.0.1.136 2011.02.22 Trojan/VB.osk
TrendMicro 9.200.0.1012 2011.02.22 PE_MOFKSYS.B
TrendMicro-HouseCall 9.200.0.1012 2011.02.22 PE_MOFKSYS.B
VBA32 3.12.14.3 2011.02.21 MAS.Trojan.VB.01049
VIPRE 8501 2011.02.22 –
ViRobot 2011.2.22.4323 2011.02.22 –
VirusBuster 13.6.212.0 2011.02.21 –
Additional informationShow all
MD5   : 48f79e3675b25aef0d59403051174382
SHA1  : f429402e54543221d84aa42dcc7a4a06e5651565

File size : 363862 bytes

publisher….: Microsoft
copyright….: n/a
product……: Win
description..: n/a
original name: Win.exe
internal name: Win
file version.: 1.00

NOTA: Si se ejecuta cualquier fichero infectado, genera uno oculto y con el mismo nombre, pero con un codigo nulo ALT255 al final de la extension, que impide que sea ejecutado. Si se elimina el infectado y se renombre el que contiene el ALT255 dejandolo sin dicho fichero, se restablece el fichero original. Y con el ELISTARA actual ya se eliminan las claves de carga de los gusanos originales, asi como ellos mismos, añadiendo al ELISTARA 22.66 de hoy un par de claves mas que crea este malware, pero ello es solo un complemento del antivirus que debe usarse para la desinfeccion de dicho elemento.

El tamaño del virus es de unos 200 KB, siendo el resto del tamaño de los ficheros infectados, variable en funcion del tamaño del fichero original, que se mantiene dentro del fichero infectado, claro.

saludos

ms, 22-2-2011