Nuevas variantes de DROPPER y ESCANEADOR de FAKE TOOL SYSTEM REPAIR

Los dos ficheros que integran este fastidioso malware (DROPPER Y ESCANEADOR) pasan a ser controladas a partir de la version del ELISTARA 23.69 de hoy, si bien ya se aparcaban y se pedia heuristicamente muestra para analizar de los causantes.

El preanalisis de los dos ficheros ofrecen los siguientes resultados:
File name:
FAWQRGAEBAUPSR.EXE.Muestra EliStartPage v23.67
Submission date:
2011-07-22 07:45:37 (UTC)
Current status:
finished
Result:
19 /43 (44.2%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.07.22.02  2011.07.22  Malware/Win32.Suspicious
AntiVir  7.11.12.52  2011.07.22  –
Antiy-AVL  2.0.3.7  2011.07.22  –
Avast  4.8.1351.0  2011.07.21  –
Avast5  5.0.677.0  2011.07.21  –
AVG  10.0.0.1190  2011.07.22  –
BitDefender  7.2  2011.07.22  Gen:Variant.Kazy.31516
CAT-QuickHeal  11.00  2011.07.22  –
ClamAV  0.97.0.0  2011.07.22  –
Commtouch  5.3.2.6  2011.07.22  –
Comodo  9468  2011.07.22  –
DrWeb  5.0.2.03300  2011.07.22  Trojan.Fakealert.23300
Emsisoft  5.1.0.8  2011.07.22  Trojan-Dropper.Win32.FrauDrop!IK
eSafe  7.0.17.0  2011.07.21  –
eTrust-Vet  36.1.8457  2011.07.21  –
F-Prot  4.6.2.117  2011.07.22  –
F-Secure  9.0.16440.0  2011.07.22  Gen:Variant.Kazy.31516
Fortinet  4.2.257.0  2011.07.22  –
GData  22  2011.07.22  Gen:Variant.Kazy.31516
Ikarus  T3.1.1.104.0  2011.07.22  Trojan-Dropper.Win32.FrauDrop
Jiangmin  13.0.900  2011.07.21  –
K7AntiVirus  9.108.4933  2011.07.21  –
Kaspersky  9.0.0.837  2011.07.22  Trojan-Dropper.Win32.FrauDrop.crm
McAfee  5.400.0.1158  2011.07.22  FakeAlert-SysDef.b
McAfee-GW-Edition  2010.1D  2011.07.21  FakeAlert-SysDef.b
Microsoft  1.7104  2011.07.22  Trojan:Win32/FakeSysdef
NOD32  6314  2011.07.22  a variant of Win32/Injector.HYU
Norman  6.07.10  2011.07.22  –
nProtect  2011-07-22.01  2011.07.22  Gen:Variant.Kazy.31516
Panda  10.0.3.5  2011.07.21  –
PCTools  8.0.0.5  2011.07.22  SecurityRisk.UltraDefragFraud!gen4
Prevx  3.0  2011.07.22  –
Rising  23.67.03.03  2011.07.21  –
Sophos  4.67.0  2011.07.22  Mal/FakeAV-LS
SUPERAntiSpyware  4.40.0.1006  2011.07.22  Trojan.Agent/Gen-RogueWare
Symantec  20111.1.0.186  2011.07.22  UltraDefragFraud!gen4
TheHacker  6.7.0.1.260  2011.07.22  –
TrendMicro  9.200.0.1012  2011.07.22  –
TrendMicro-HouseCall  9.200.0.1012  2011.07.22  TROJ_GEN.R42C1GM
VBA32  3.12.16.4  2011.07.21  –
VIPRE  9927  2011.07.22  Trojan.Win32.Generic.pak!cobra
ViRobot  2011.7.22.4582  2011.07.22  –
VirusBuster  14.0.133.0  2011.07.21  –
Additional information
MD5   : 9e68040e3c03256bf20d4fbca2a8ea3a
SHA1  : df3ac216182d4fc9a9ac141202f0db38db96bc19

File size : 468992 bytes
publisher….: n/a
copyright….: Copyright (c) 2010
product……: n/a
description..: ShellHandler for Notepad__ (64 bit)
original name: NppShell64.dll
internal name: n/a
file version.: 0.1
__________________________
File name:
P1KALMIG2KB7FZ.EXE.Muestra EliStartPage v23.67
Submission date:
2011-07-22 08:00:46 (UTC)
Current status:
finished
Result:
17/ 43 (39.5%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3 2011.07.22.02 2011.07.22 Malware/Win32.Suspicious
AntiVir 7.11.12.52 2011.07.22 –
Antiy-AVL 2.0.3.7 2011.07.22 –
Avast 4.8.1351.0 2011.07.21 Win32:MalOb-CA [Cryp]
Avast5 5.0.677.0 2011.07.21 Win32:MalOb-CA [Cryp]
AVG 10.0.0.1190 2011.07.22 –
BitDefender 7.2 2011.07.22 Gen:Variant.Kazy.31516
CAT-QuickHeal 11.00 2011.07.22 –
ClamAV 0.97.0.0 2011.07.22 –
Commtouch 5.3.2.6 2011.07.22 –
Comodo 9468 2011.07.22 –
DrWeb 5.0.2.03300 2011.07.22 –
Emsisoft 5.1.0.8 2011.07.22 –
eSafe 7.0.17.0 2011.07.21 –
eTrust-Vet 36.1.8457 2011.07.21 –
F-Prot 4.6.2.117 2011.07.22 –
F-Secure 9.0.16440.0 2011.07.22 Gen:Variant.Kazy.31516
Fortinet 4.2.257.0 2011.07.22 –
GData 22 2011.07.22 Gen:Variant.Kazy.31516
Ikarus T3.1.1.104.0 2011.07.22 –
Jiangmin 13.0.900 2011.07.21 –
K7AntiVirus 9.108.4933 2011.07.21 –
Kaspersky 9.0.0.837 2011.07.22 Trojan-Dropper.Win32.FrauDrop.crm
McAfee 5.400.0.1158 2011.07.22 FakeAlert-SysDef.b
McAfee-GW-Edition 2010.1D 2011.07.21 FakeAlert-SysDef.b
Microsoft 1.7104 2011.07.22 Trojan:Win32/FakeSysdef
NOD32 6314 2011.07.22 a variant of Win32/Injector.HYU
Norman 6.07.10 2011.07.22 –
nProtect 2011-07-22.01 2011.07.22 Gen:Variant.Kazy.31516
Panda 10.0.3.5 2011.07.21 –
PCTools 8.0.0.5 2011.07.22 SecurityRisk.UltraDefragFraud!gen4
Prevx 3.0 2011.07.22 –
Rising 23.67.03.03 2011.07.21 –
Sophos 4.67.0 2011.07.22 Mal/FakeAV-LS
SUPERAntiSpyware 4.40.0.1006 2011.07.22 Trojan.Agent/Gen-RogueWare
Symantec 20111.1.0.186 2011.07.22 UltraDefragFraud!gen4
TheHacker 6.7.0.1.260 2011.07.22 –
TrendMicro 9.200.0.1012 2011.07.22 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.22 –
VBA32 3.12.16.4 2011.07.21 –
VIPRE 9927 2011.07.22 Trojan.Win32.Jorik.Fraud.un (v)
ViRobot 2011.7.22.4582 2011.07.22 –
VirusBuster 14.0.133.0 2011.07.21 –
Additional information
MD5   : eb0c1c26fb84f132ba9965482de725da
SHA1  : f6f3543545c35fe4e51678e35b7c9f51f4779932

File size : 372736 bytes
publisher….: n/a
copyright….: Copyright (c) 2010
product……: n/a
description..: ShellHandler for Notepad__ (64 bit)
original name: NppShell64.dll
internal name: n/a
file version.: 0.1
Como sea que oculta varias carpetas de ficheros en carpeta temporal, a partir de esta version del ELISTARA se evita borrar dichos ficheros de las carpetas temporales del usuario, e intentar restaurar los ficheros del usuario que de otra forma se perderían.

Cabe indicar que este FAKE ALERT, cuando está activo, oculta el escritorio, por lo que se recomienda arrancar en MODO SEGURO para lanzar el ELISTARA correspondiente.

Dicha version del ELISTARA 23.69 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 22-7-2011