Una nueva modalidad del peligroso virusinfector SALITY es crear AUTORUN.INF lanzando dropper del SALITY en los pendrives
En el AUTORUN.INF que hemos recibido para analizar, hemos visto la instruccion de lanzar un fichero que ha resultado ser un DROPPER del SALITY:
shell\ExPloRe\CommAND=imxrv.exe
El preanalisis del IMRXV.EXE indica:
File name: imxrv.exe
Submission date: 2011-03-23 09:51:34 (UTC)
Result: 40/ 43 (93.0%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.03.23.01 2011.03.23 Win32/Kashu.E
AntiVir 7.11.5.35 2011.03.23 W32/Sality.AT
Antiy-AVL 2.0.3.7 2011.03.22 –
Avast 4.8.1351.0 2011.03.22 Win32:Sality
Avast5 5.0.677.0 2011.03.22 Win32:Sality
AVG 10.0.0.1190 2011.03.23 Win32/Sality.dropper
BitDefender 7.2 2011.03.23 Win32.Sality.3
CAT-QuickHeal 11.00 2011.03.23 W32.Sality.U
ClamAV 0.96.4.0 2011.03.23 Trojan.Agent-168681
Commtouch 5.2.11.5 2011.03.22 W32/Sality.gen2
Comodo 8073 2011.03.23 Virus.Win32.Sality.Gen
DrWeb 5.0.2.03300 2011.03.23 Win32.Sector.22
Emsisoft 5.1.0.4 2011.03.23 Win32.Sality!IK
eSafe 7.0.17.0 2011.03.22 –
eTrust-Vet 36.1.8231 2011.03.23 Win32/Sality.AA
F-Prot 4.6.2.117 2011.03.22 W32/Sality.gen2
F-Secure 9.0.16440.0 2011.03.23 Win32.Sality.3
Fortinet 4.2.254.0 2011.03.23 W32/Sality!dam
GData 21 2011.03.23 Win32.Sality.3
Ikarus T3.1.1.97.0 2011.03.23 Win32.Sality
Jiangmin 13.0.900 2011.03.23 Win32/HLLP.Kuku.Gen
K7AntiVirus 9.94.4188 2011.03.23 Trojan
Kaspersky 7.0.0.125 2011.03.23 Virus.Win32.Sality.bh
McAfee 5.400.0.1158 2011.03.23 W32/Sality.dr
McAfee-GW-Edition 2010.1C 2011.03.23 Heuristic.LooksLike.Win32.Suspicious.C!87
Microsoft 1.6603 2011.03.23 Virus:Win32/Sality.AT
NOD32 5976 2011.03.22 Win32/Sality.NBA
Norman 6.07.03 2011.03.22 Sality.dam
nProtect 2011-02-10.01 2011.02.15 Win32.Sality.3
Panda 10.0.3.5 2011.03.22 W32/Sality.AK.drp
PCTools 7.0.3.5 2011.03.21 Malware.Sality
Prevx 3.0 2011.03.23 –
Rising 23.50.01.06 2011.03.22 Trojan.Win32.Fednu.gt
Sophos 4.63.0 2011.03.23 Troj/SalLoad-C
SUPERAntiSpyware 4.40.0.1006 2011.03.23 Trojan.Agent/Gen-CDesc[LordPE]
Symantec 20101.3.0.103 2011.03.23 W32.Sality!dr
TheHacker 6.7.0.1.155 2011.03.23 Trojan/Agent2.lnp
TrendMicro 9.200.0.1012 2011.03.23 PE_SALITY.RL-O
TrendMicro-HouseCall 9.200.0.1012 2011.03.23 PE_SALITY.RL-O
VBA32 3.12.14.3 2011.03.23 Virus.Win32.Sality.bakc
VIPRE 8789 2011.03.23 Virus.Win32.Sality.at (v)
ViRobot 2011.3.23.4372 2011.03.23 Win32.Sality.N.Host
VirusBuster 13.6.264.0 2011.03.22 Win32.Sality.BL
Additional informationShow all
MD5 : c5a25cf57a2c313171d7fab929afc4da
SHA1 : eb5d1429edaf3d01a13c765501c9f9e89cc5dcb0
File size : 103140 bytes
Con el ELISTARA.EXE 22.87 de hoy pasamos a controlar este dropper del SALITY, si bien para desinfectar los ficheros que infectara, requiere el ANTIVIRUS que lo detecte y desinfecte
recordamos que es muy importante proteger los ordenadores y pendrives con el ELIPEN, para asi evitar la propagacion los malwares via pendrive.
saludos
ms, 23-3-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.