ANALISIS Y COMENTARIOS SOBRE EL NUEVO FAKE ANGEL GUARDIAN DE WINDOWS O FAKE AV “GUARDANGEL”

 

Si bien ayer ya ofrecimos primicia informativa de esta nueva familia de FAKES, cuando con el virustotal solo había 6 detecciones, y pasamos a controlarlo en plan de emergencia con el ELISTARA 25.14, hoy pasamos a ampliar dicha noticia ofreciendo capturas de pantalla del mismo e informando que pasamos a mejorar nuestra utilidad de control al observar que es de nombre variable, asi como eliminar las interceptaciones de aplicaciones en su totalidad (MAS DE 700, incluidas el REGEDIT y el TASKMANAGER a través del SVCHOST)
El preanalisis actualya ofrece 10 detecciones mas :
SHA256: 69ae169a9f2ee6cd5cea05b4a018bec54cef7921558a52f09a210f4287d985bb
SHA1: e2a820a3dfe7160bcd4a75b1b42f52b142373982
MD5: 2cb75ad2c172098e678f5bc5067da9ee
Tamaño: 2.4 MB ( 2519552 bytes )
Nombre: Protector-vcja.exe,vir
Tipo: Win32 EXE
Detecciones: 16 / 43
Fecha de análisis: 2012-03-22 09:08:49 UTC ( hace 1 minuto )

01
Antivirus Resultado Actualización
AhnLab-V3 – 20120321
AntiVir TR/Crypt.XPACK.Gen 20120322
Antiy-AVL – 20120322
Avast – 20120320
AVG FakeAV.ADJU 20120321
BitDefender Trojan.Generic.KDV.577143 20120322
ByteHero – 20120319
CAT-QuickHeal – 20120322
ClamAV – 20120322
Commtouch – 20120321
Comodo TrojWare.Win32.Trojan.XPack.~gen1 20120322
DrWeb Trojan.MulDrop3.41621 20120322
Emsisoft Adware.Win32.WintionalityChecker.AMN!A2 20120322
eSafe – 20120321
eTrust-Vet – 20120321
F-Prot – 20120321
F-Secure Trojan.Generic.KDV.577143 20120322
Fortinet Riskware/WintionalityChecker 20120322
GData Trojan.Generic.KDV.577143 20120322
Ikarus – 20120322
Jiangmin – 20120321
K7AntiVirus – 20120321
Kaspersky HEUR:Trojan.Win32.Generic 20120322
McAfee Artemis!2CB75AD2C172 20120322
McAfee-GW-Edition – 20120321
Microsoft Rogue:Win32/FakePAV 20120322
NOD32 Win32/Adware.WintionalityChecker.AD 20120322
Norman – 20120321
nProtect – 20120321
Panda Suspicious file 20120321
PCTools – 20120319
Prevx – 20120322
Rising – 20120322
Sophos – 20120322
SUPERAntiSpyware Trojan.Agent/Gen-Falofn 20120322
Symantec – 20120322
TheHacker – 20120321
TrendMicro – 20120321
TrendMicro-HouseCall – 20120322
VBA32 – 20120321
VIPRE Trojan.Win32.Generic!BT 20120322
ViRobot – 20120322
VirusBuster – 20120321
y la pantalla que visualiza es

 

algunas caracteristicas del mismo son:

Instala un enlace en el escritorio con el nombre de   Windows Guardian Angel.lnk , y tambien en %Programas Menu Inicio% (All Users)\

Se copia con nombre variable en %Datos de Programa%\ Protector-****.exe (**** 4 letras variables en cada instalación)

Crea una clave de RUN con valor “inspector” en el registro de sistema lanzando el malware indicado

Intercepta mas de 700 aplicaciones, lanzando el malware al ser ejecutadas. Una pequeña muestra es:

a.exe]
aAvgApi.exe]
AAWTray.exe]
About.exe]
ackwin32.exe]
Ad-Aware.exe]
adaware.exe]
advxdwin.exe]
AdwarePrj.exe]
agent.exe]

../..

zapro.exe]
zapsetup3001.exe]
zatutor.exe]
zonalm2601.exe]
zonealarm.exe]
_avp32.exe]
_avpcc.exe]
_avpm.exe]
~1.exe]
~2.exe]

Debuguea además lanzandose al ejecutar el TASKMANAGER y el SVCHOST
Aparte modifica alguna politicas de windows como “EnableLUA” y “ConsentPromptBehaviorUser”
Todo ello queda contemplado a partir del ELISTARA 25.15, que estará disponible  a partir de las 19 h CEST de hoy

saludos

ms, 22-3-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies