Variante de FAKE TOOL que esconde TODO EL DISCO DURO y borra las capetas de ALL USERS

Una variante de malware que aparenta ser una herramienta de recuperacion, y a diferencia de las otras variantes conocidas de esta familia, que ocultaba solo el escritorio, este oculta todo el disco duro, aparte de otras que las ha eliminado y no son recuperables, ha sido cazado por la heuristica del ELISTARA y pedido muestra para su analisis y control.

A partir del ELISTARA 23.88 de hoy, pasamos a controlar esta nueva variante.

El preanalisis con VirusTotal, ofrece este informe:
File name: NCLRPYGLVUUR.EXE.Muestra EliStartPage v23.87
Submission date: 2011-09-15 13:38:48 (UTC)
Result: 7/ 43 (16.3%)
VT Community

not reviewed
Safety score: –
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.09.15.00 2011.09.15 Trojan/Win32.Jorik
AntiVir 7.11.14.211 2011.09.15 TR/Jorik.Fraud.doy.1
Antiy-AVL 2.0.3.7 2011.09.15 –
Avast 4.8.1351.0 2011.09.15 –
Avast5 5.0.677.0 2011.09.15 –
AVG 10.0.0.1190 2011.09.15 –
BitDefender 7.2 2011.09.15 –
ByteHero 1.0.0.1 2011.09.13 Trojan.Win32.Heur.Gen
CAT-QuickHeal None 2011.09.15 –
ClamAV 0.97.0.0 2011.09.15 –
Commtouch 5.3.2.6 2011.09.15 –
Comodo 10123 2011.09.15 –
DrWeb 5.0.2.03300 2011.09.15 Trojan.Fakealert.23300
Emsisoft 5.1.0.11 2011.09.15 –
eSafe 7.0.17.0 2011.09.14 –
eTrust-Vet 36.1.8562 2011.09.15 –
F-Prot 4.6.2.117 2011.09.14 –
F-Secure 9.0.16440.0 2011.09.15 –
Fortinet 4.3.370.0 2011.09.15 –
GData 22 2011.09.15 –
Ikarus T3.1.1.107.0 2011.09.15 –
Jiangmin 13.0.900 2011.09.14 –
K7AntiVirus 9.113.5133 2011.09.14 –
Kaspersky 9.0.0.837 2011.09.15 Trojan.Win32.Jorik.Fraud.doy
McAfee 5.400.0.1158 2011.09.15 –
McAfee-GW-Edition 2010.1D 2011.09.15 –
Microsoft 1.7604 2011.09.15 –
NOD32 6465 2011.09.15 a variant of Win32/Kryptik.SVJ
Norman 6.07.11 2011.09.15 –
Panda 10.0.3.5 2011.09.14 –
PCTools 8.0.0.5 2011.09.15 –
Prevx 3.0 2011.09.15 –
Rising 23.74.03.03 2011.09.09 –
Sophos 4.69.0 2011.09.15 –
SUPERAntiSpyware 4.40.0.1006 2011.09.15 Trojan.Agent/Gen-RogueAS
Symantec 20111.2.0.82 2011.09.15 –
TheHacker 6.7.0.1.297 2011.09.15 –
TrendMicro 9.500.0.1008 2011.09.15 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.15 –
VBA32 3.12.16.4 2011.09.14 –
VIPRE 10482 2011.09.15 –
ViRobot 2011.9.15.4670 2011.09.15 –
VirusBuster 14.0.214.0 2011.09.15 –
Additional informationShow all
ViRobot 2011.9.15.4670 2011.09.15 –
VirusBuster 14.0.214.0 2011.09.15 –
Additional informationShow all
MD5   : 0c402d787bd42dd2e1ab380327bf221d
SHA1  : b603a14d53de44a17c3392e4f14572d4fc8bb9f8

File size : 460800 bytes

publisher….: RealVNC Ltd.
copyright….: Copyright (c) RealVNC Ltd. 2002-2008
product……: VNC Server Free Edition
description..: VNC Server Free Edition for Win32
original name: winvnc4.exe
internal name: free4/winvnc
file version.: 4.1.3
comments…..: n/a
signers……: –
signing date.: –
verified…..: Unsigned
Dicha version del ELISTARA 23.88 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST

Para esta variante y a partir de esta version, el ELISTARA ofrecerá desocultar toda la unidad que se está examinando si se detecta dicho malware, pero solo de atributo H, pues afortunadamente solo implementa dicho atributo y no el S, en cuyo caso se desocultarían todos los de sistema, con el consiguiente riesgo…  Cuando se detecte dicho malware se preguntará si se quiere proceder a dicha desocultacion o no, pues puede que algun usuario no quiera desocultar todo lo oculto, para proceder a hacerlo, a mano con el ATTRIB, en solo los que desee ver.

Si se dice que No y se eliminan los troyanos en cuestion, el siguiente escaneo no ofrecerá dicha posibilidad si no encuentra infección, y se deberá restaurar a mano o bien copiando un fichero infectado en dicha unidad, si se han guardado una copia.

saludos

ms, 15-9-2011