Nueva variante de FAKE TOOL SYSTEM REPAIR, me apareció cuando accedía a una ficha del FaceBook

Una nueva variante de FAKE TOOL pasará a ser controlada a partir de ELISTARA 24.71

El preanalisis de virustotal ofrece el siguiente informe:

SHA256:  470cf804150bb328a1085fe4c26d983351b4aff54775aafa66c9b30d31c41293
Detection ratio:  37 / 43
Analysis date:  2012-01-21 16:05:17 UTC ( 1 minute ago )
0
1

Nombre de fichero : 18931492.exe

Antivirus  Result  Update
AhnLab-V3  Trojan/Win32.Jorik  20120121
AntiVir  TR/Crypt.XPACK.Gen  20120120
Antiy-AVL  Trojan/Win32.Menti.gen  20120121
Avast  Win32:Kryptik-DRS [Trj]  20120121
AVG  FakeAlert.AEY  20120121
BitDefender  Gen:Variant.Kazy.30834  20120121
ByteHero  Trojan.Win32.Heur.Gen  20120120
CAT-QuickHeal  Trojan.FakeAV  20120121
ClamAV  –  20120121
Commtouch  W32/FakeAlert.PG.gen!Eldorado  20120120
Comodo  TrojWare.Win32.Trojan.Agent.Gen  20120121
DrWeb  Trojan.Fakealert.22469  20120121
Emsisoft  Trojan.Win32.FakeSysdef!IK  20120121
eSafe  –  20120120
eTrust-Vet  Win32/FraudXPRestore.A  20120121
F-Prot  W32/FakeAlert.PG.gen!Eldorado  20120120
F-Secure  Gen:Variant.Kazy.30834  20120121
Fortinet  W32/Krypt.EBF!tr  20120121
GData  Gen:Variant.Kazy.30834  20120121
Ikarus  Trojan.Win32.FakeSysdef  20120121
Jiangmin  TrojanDownloader.Dapato.mt  20120121
K7AntiVirus  Trojan  20120120
Kaspersky  Trojan.Win32.Menti.hdkw  20120121
McAfee  FakeAlert-SysDef.b  20120121
McAfee-GW-Edition  FakeAlert-SysDef.b  20120120
Microsoft  Trojan:Win32/FakeSysdef  20120121
NOD32  a variant of Win32/Kryptik.QIE  20120121
Norman  W32/Kryptik.ABF  20120121
nProtect  –  20120121
Panda  Adware/WindowsXpRecovery  20120121
PCTools  Trojan.FakeAV!rem  20120121
Prevx  Medium Risk Malware Dropper  20120121
Rising  –  20120118
Sophos  Mal/FakeAV-LS  20120121
SUPERAntiSpyware  Trojan.Agent/Gen-FakeAlert  20120121
Symantec  Trojan.FakeAV  20120121
TheHacker  Trojan/Menti.hdkw  20120120
TrendMicro  TROJ_FAKEAL.SMQT  20120121
TrendMicro-HouseCall  TROJ_FAKEAL.SMQT  20120121
VBA32  –  20120120
VIPRE  Trojan.Win32.Jorik.Fraud.un (v)  20120121
ViRobot  –  20120121
VirusBuster  Trojan.Kryptik!pQ4mEQ1DhYs  20120120

Dicha version del ELISTARA 24.71 que lo detecta y elimina estará disponible en nuestra web a partir de las 19 h del 23.1.2012

saludos

ms, 21-1-2012

NOTA: En este caso me atacó personalmente, cuando recibí un correo de facebook informando de que alguien pedía que le aceptara como amigo, y al entrar en su ficha para ver si era conocido, me saltó la típica pantalla de los FAKE ALERT. Tras detener el proceso y ver el fichero relacionado, lo he subido al virustotal y al confirmar que lo era, he añadido .VIR a su extensión, para que no se cargara al reiniciar, y el lunes lo monitorizaremos en SATINFO y pasaremoa a controlar/eliminar en la próxima  versión del ELISTARA 24.71, que lo eliminará y restaurará el registro de sistema que hubiera modificado el malware. Para quien interese, el fichero en cuestion ingresó en \Documents and Settings\All Users\Datos de programa\ con el nombre de 19455780 (seguramente aleatorio) y, en sus propiedades, en Nombre de producto simula ser TShark y en Organizacion indica The Wireshark developer comunity, todo ello falso, claro.