Y mas FAKE ALERTS SYSTEM RESTORE …

Afortunadamente la heuristica del ELISTARA va cazando y aparcando muestras sospechosas aun no controladas, que pasamos a controlar especificamente en la siguiente version de dicha utilidad.

En este caso otro FAKE ALERT SYSTEM RESTORE, de los que ocultan ficheros y carpetas de todo el disco duro.

Ya con el actual ELISTARA 24.18, subido ayer tarde a nuestra web, se controla esta nueva variante, Dropper y Scanner, cuyos informes del preanalisis del virustotal ofrecen el siguiente resultado:

Dropper:

File name: NFEDERLYBHVOW.EXE.Muestra EliStartPage v24.17
Submission date: 2011-11-03 08:10:01 (UTC)
Current status: finished
Result: 28 /40 (70.0%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AntiVir 7.11.16.253 2011.11.03 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2011.11.03 Trojan/win32.agent.gen
Avast 6.0.1289.0 2011.11.03 Win32:FakeAV-CLB [Trj]
AVG 10.0.0.1190 2011.11.02 Cryptic.DSW
BitDefender 7.2 2011.11.03 Gen:Variant.FakeAlert.93
ByteHero 1.0.0.1 2011.09.23 –
CAT-QuickHeal 11.00 2011.11.03 –
ClamAV 0.97.3.0 2011.11.03 –
Commtouch 5.3.2.6 2011.11.03 –
Comodo 10648 2011.11.03 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.11.03 Trojan.PWS.Panda.1230
Emsisoft 5.1.0.11 2011.11.03 Trojan.Win32.FakeSysdef!IK
eSafe 7.0.17.0 2011.11.02 Win32.Trojan
eTrust-Vet 36.1.8653 2011.11.02 –
F-Prot 4.6.5.141 2011.11.03 –
F-Secure 9.0.16440.0 2011.11.03 Gen:Variant.FakeAlert.93
Fortinet 4.3.370.0 2011.11.03 W32/FakeAV.PA
GData 22 2011.11.03 Gen:Variant.FakeAlert.93
Ikarus T3.1.1.107.0 2011.11.03 Trojan.Win32.FakeSysdef
Jiangmin 13.0.900 2011.11.02 DangerousObject.Multi.agr
K7AntiVirus 9.116.5379 2011.11.02 Riskware
Kaspersky 9.0.0.837 2011.11.03 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.11.03 Generic FakeAlert.bz
McAfee-GW-Edition 2010.1D 2011.11.03 Generic FakeAlert.bz
Microsoft 1.7801 2011.11.03 Trojan:Win32/FakeSysdef
NOD32 6596 2011.11.03 a variant of Win32/Kryptik.UOA
nProtect 2011-11-02.02 2011.11.02 Gen:Variant.FakeAlert.93
Panda 10.0.3.5 2011.11.02 Trj/SystemRestore.A
PCTools 8.0.0.5 2011.11.03 Trojan.ADH
Prevx 3.0 2011.11.03 –
Rising 23.82.02.02 2011.11.02 –
Sophos 4.70.0 2011.11.03 Mal/FakeAV-OZ
SUPERAntiSpyware 4.40.0.1006 2011.11.03 Trojan.Agent/Gen-RogueAntiSpy
Symantec 20111.2.0.82 2011.11.03 Trojan.ADH.2
TheHacker 6.7.0.1.337 2011.11.03 Trojan/Kryptik.uoa
TrendMicro 9.500.0.1008 2011.11.03 –
TrendMicro-HouseCall 9.500.0.1008 2011.11.03 –
VBA32 3.12.16.4 2011.11.02 –
VIPRE 10951 2011.11.03 Trojan.Win32.Generic!BT
ViRobot 2011.11.3.4752 2011.11.03 –
Additional informationShow all
MD5   : 2db094ee8983362c6877d0c5a614ac28
SHA1  : f6a50c8b9194b7e6fce8feddd40375a7ae5540d9

File size : 397200 bytes
SCANNER:

File name: 1KALMIG2KB7FZP.EXE.Muestra EliStartPage v24.17
Submission date: 2011-11-03 08:13:00 (UTC)

Result: 21/ 43 (48.8%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.11.02.00 2011.11.02 Trojan/Win32.Jorik
AntiVir 7.11.16.253 2011.11.03 TR/FakeSysdef.A.1283
Antiy-AVL 2.0.3.7 2011.11.03 –
Avast 6.0.1289.0 2011.11.03 Win32:FakeSysdef-GW [Trj]
AVG 10.0.0.1190 2011.11.02 Cryptic.DSW
BitDefender 7.2 2011.11.03 Gen:Variant.FakeAlert.93
ByteHero 1.0.0.1 2011.09.23 –
CAT-QuickHeal None 2011.11.03 –
ClamAV 0.97.3.0 2011.11.03 –
Commtouch 5.3.2.6 2011.11.03 –
Comodo 10648 2011.11.03 –
DrWeb 5.0.2.03300 2011.11.03 –
Emsisoft 5.1.0.11 2011.11.03 –
eSafe 7.0.17.0 2011.11.02 –
eTrust-Vet 36.1.8653 2011.11.02 –
F-Prot 4.6.5.141 2011.11.03 –
F-Secure 9.0.16440.0 2011.11.03 Gen:Variant.FakeAlert.93
Fortinet 4.3.370.0 2011.11.03 –
GData 22 2011.11.03 Gen:Variant.FakeAlert.93
Ikarus T3.1.1.107.0 2011.11.03 –
Jiangmin 13.0.900 2011.11.02 –
K7AntiVirus 9.116.5379 2011.11.02 Trojan
Kaspersky 9.0.0.837 2011.11.03 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.11.03 Generic FakeAlert.bz
McAfee-GW-Edition 2010.1D 2011.11.03 Generic FakeAlert.bz
Microsoft 1.7801 2011.11.03 Trojan:Win32/FakeSysdef
NOD32 6596 2011.11.03 a variant of Win32/Kryptik.UOA
Norman 6.07.13 2011.11.02 W32/Crypt.AWRL
nProtect 2011-11-03.01 2011.11.03 Gen:Variant.FakeAlert.93
Panda 10.0.3.5 2011.11.02 Trj/SystemRestore.A
PCTools 8.0.0.5 2011.11.03 Trojan.ADH
Prevx 3.0 2011.11.03 –
Rising 23.82.02.02 2011.11.02 –
Sophos 4.70.0 2011.11.03 Mal/FakeAV-OZ
SUPERAntiSpyware 4.40.0.1006 2011.11.03 Trojan.Agent/Gen-Surchar
Symantec 20111.2.0.82 2011.11.03 Trojan.ADH.2
TheHacker 6.7.0.1.337 2011.11.03 –
TrendMicro 9.500.0.1008 2011.11.03 –
TrendMicro-HouseCall 9.500.0.1008 2011.11.03 –
VBA32 3.12.16.4 2011.11.02 –
VIPRE 10951 2011.11.03 Trojan.Win32.Generic!BT
ViRobot 2011.11.3.4752 2011.11.03 –
VirusBuster 14.1.42.0 2011.11.02 –
Additional informationShow all
MD5   : d5756b9419bb9f0a80a783bd07b90014
SHA1  : c87e26a4a0ce91b030f2d8a9d8810e1f8e2e62ab

File size : 321424 bytes
Si bien con la version 24.18 del ELISTARA ya se detecta, elimina y corrije los atributos de ficheros y carpetas modificados, para poder disponer normalmente de ellos tras reiniciar, para futuros casos en que se detecte dicha anomaliía y se aparque con el ELISTARA el fichero sospechoso, si bien tras recibir la muestra que se solicitará, la siguiente version del ELISTARA ya lo controlará como con este, si se quiere recuperar el acceso a la vision normal de ficheros y carpetas, una pasado el ELISTARA, se puede arrancar en MDOO SEGURO CON SOLO SIMBOLO DE SISTEMA y lanzar este comando:

ATTRIB  C:\*.*   -H  /S  /D     <ENTER>

y tras reiniciar, si el malware ya está aparcado por el ELISTARA, se podrá trabajar normalmente, aunque aconsejamos terminar de limpiar los restos con la nueva version de dicha utilidad que hagamos al respecto.

saludos

ms, 3-11-2011