Otra variante del ALUREON.FE, que modifica la tabla de particion

Afortunadamente ya son bastantes (mas de la mitad) los AV que lo detectan, pues si se ejecuta sin que sea interceptado, cambia unos bytes de la tabla de particion del MBR y el disco duro ya no vuelve a arrancar.

Si es el caso, la solucion es ejecutar el COPYMBR /SEGU  y enviarnos el fichero resultante, copia del MBR actual, tras lo que modificaremos lo necesario para que se aplique este fichero de nuevo con un COPYMBR /UNDO  y asi restaurar ka operatividad de la particion habitual

Evidentemente ello se habrá de hacer arrancando con un LIVECD o colocando el disco duro como esclavo para poder arrancar con un MASTER y poder efectuar la operacion indicada, sobre el esclavo, claro.

Otra solucion es disponer en un pendrive del fichero generado por el COPYMBR /SEGU  y si se tiene la desgracia de ejecutar dicho engendro, simplemente con un COPYMBR /UNDO  del fichero guardado (diferente para cada ordenador) se repondría la operatividad.

Lamentablemente algunos usuarios afectados, al ver que les da un mensaje de “Error al cargar el sistema operativo” o similar, procederan con un formateo…, extremo que procuramos evitar al máximo !

A partir de la version 24.28 del ELISTARA de hoy ya se controla esta nueva variante

El preanalisis con el VirusTotal, nos ofrece este informe:
File name: RelPost.exe
Submission date: 2011-11-16 11:54:50 (UTC)

Result: 23/ 42 (54.8%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.11.15.01 2011.11.15 Trojan/Win32.Alureon
AntiVir 7.11.17.181 2011.11.16 TR/Kazy.44113.2
Antiy-AVL 2.0.3.7 2011.11.16 –
Avast 6.0.1289.0 2011.11.16 –
AVG 10.0.0.1190 2011.11.16 –
BitDefender 7.2 2011.11.16 Gen:Variant.Kazy.44113
ByteHero 1.0.0.1 2011.11.14 –
ClamAV 0.97.3.0 2011.11.16 –
Commtouch 5.3.2.6 2011.11.16 –
Comodo 10778 2011.11.14 –
DrWeb 5.0.2.03300 2011.11.16 BackDoor.Tdss.6424
Emsisoft 5.1.0.11 2011.11.16 Win32.SuspectCrc!IK
eSafe 7.0.17.0 2011.11.15 –
eTrust-Vet 37.0.9569 2011.11.16 –
F-Prot 4.6.5.141 2011.11.16 –
F-Secure 9.0.16440.0 2011.11.16 Gen:Variant.Kazy.44113
Fortinet 4.3.370.0 2011.11.16 W32/Kryptik.CQW!tr
GData 22 2011.11.16 Gen:Variant.Kazy.44113
Ikarus T3.1.1.109.0 2011.11.16 Win32.SuspectCrc
Jiangmin 13.0.900 2011.11.15 –
K7AntiVirus 9.119.5466 2011.11.15 –
Kaspersky 9.0.0.837 2011.11.16 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.11.16 DNSChanger!fd
McAfee-GW-Edition 2010.1D 2011.11.16 Artemis!8A814EB0EC4A
Microsoft 1.7801 2011.11.16 Trojan:Win32/Alureon.FE
NOD32 6634 2011.11.16 a variant of Win32/Kryptik.VHR
Norman 6.07.13 2011.11.16 –
nProtect 2011-11-16.01 2011.11.16 Gen:Variant.Kazy.44113
Panda 10.0.3.5 2011.11.16 Trj/CI.A
PCTools 8.0.0.5 2011.11.16 Trojan.Gen
Prevx 3.0 2011.11.16 –
Rising 23.84.02.02 2011.11.16 –
Sophos 4.71.0 2011.11.16 Mal/FakeAV-OQ
SUPERAntiSpyware 4.40.0.1006 2011.11.16 Trojan.Agent/Gen-FraudScan[Prod]
Symantec 20111.2.0.82 2011.11.16 Trojan.Gen.2
TheHacker 6.7.0.1.343 2011.11.16 –
TrendMicro 9.500.0.1008 2011.11.16 TROJ_GEN.R42C7KF
TrendMicro-HouseCall 9.500.0.1008 2011.11.16 TROJ_GEN.R42C7KF
VBA32 3.12.16.4 2011.11.15 –
VIPRE 11060 2011.11.16 Trojan.Win32.Generic!BT
ViRobot 2011.11.16.4776 2011.11.16 –
VirusBuster 14.1.65.0 2011.11.15 –
Additional informationShow all
MD5   : 8a814eb0ec4a623af9ab6116e4cde5f2
SHA1  : c716ec77874dc20b9f10e1fa7cebe5d947093fe8

File size : 335872 bytes

publisher….: iF(c)SYSEMS
copyright….: iF(c)SYSEMS Corp All Rights reserved
product……: BlooerWare
description..: BlooerWare
original name: vindrr.exe
internal name: vindrr
file version.: 3.R2.43990T RC2.99c alpha

Dicha version del ELISTARA 24.28 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 16-11-2011