Nuevas variantes del ransomware WINLOCK, o “virus de la policia”, que ha cambiado de nombre de fichero, habiendo recibido ya 2 variantes distintas del mismo

El ransomware que presenta pantallazo de bloqueo por presunta detección de la IP en webs de pedofilia y exigencia del pago de 100 euros para la solucion al respècto, ademas de llegar en fichero ADOBEFLASH.EXE al pedir un codec para ver un video, ahora llega en el fichero MEDIAPLAYER.EXE que ingresa de la misma forma.

La imagen que presenta es la misma que la anterior:

y pasamos a controlarlos a partir del ELISTARA 24.96 de hoy

Los preanalisis de virustotal de las dos muestras recibidas la respecto ofrecen estos informes:

SHA256: 677e6bf6749ce67cb32f473eae698f8f99e4aacdd3085e4ac33e96a2ae133110
SHA1: 2f1e1ddee33d21f34876e5b6b4b88c9ac8cb8e25
MD5: 227b1cb92e2b0c08a80af6a588138a38
Tamaño: 37.5 KB ( 38400 bytes )
Nombre: MEDIAPLAYER.EXE.Muestra EliStartPage v24.95
Tipo: Win32 EXE
Detecciones: 11 / 43
Fecha de análisis: 2012-02-24 10:44:02 UTC ( hace 0 minutos )

02
Antivirus Resultado Actualización
AhnLab-V3 – 20120224
AntiVir TR/Crypt.ULPM.Gen 20120224
Antiy-AVL – 20120224
Avast – 20120223
AVG – 20120224
BitDefender Trojan.Generic.KD.543060 20120224
ByteHero – 20120222
CAT-QuickHeal – 20120224
ClamAV – 20120224
Commtouch – 20120224
Comodo – 20120224
DrWeb – 20120224
Emsisoft – 20120224
eSafe – 20120223
eTrust-Vet – 20120224
F-Prot – 20120224
F-Secure Trojan.Generic.KD.543060 20120224
Fortinet W32/Yakes.B!tr 20120223
GData Trojan.Generic.KD.543060 20120224
Ikarus – 20120224
Jiangmin – 20120223
K7AntiVirus – 20120222
Kaspersky Trojan-Dropper.Win32.Injector.cvtu 20120224
McAfee – 20120224
McAfee-GW-Edition – 20120224
Microsoft – 20120224
NOD32 a variant of Win32/Kryptik.ABHZ 20120224
Norman – 20120223
nProtect Trojan.Generic.KD.543060 20120224
Panda – 20120223
PCTools – 20120221
Prevx – 20120224
Rising – 20120224
Sophos – 20120224
SUPERAntiSpyware – 20120223
Symantec – 20120224
TheHacker Posible_Worm32 20120224
TrendMicro PAK_Generic.001 20120224
TrendMicro-HouseCall PAK_Generic.001 20120224
VBA32 – 20120223
VIPRE – 20120224
ViRobot – 20120224
VirusBuster – 201202
_______

SHA256: 7a9d75afdd27a51c0f42593065793d7cca2169b8d2fcae7610f5b7e14b7738e9
SHA1: 8f4c249218c9a71a7d4c64f24fa73cd79fe935bb
MD5: 9f9b3a91bc2660f0d247996e8fff01c5
Tamaño: 55.0 KB ( 56320 bytes )
Nombre: file-3587117_exe
Tipo: Win32 EXE
Detecciones: 4 / 43
Fecha de análisis: 2012-02-24 10:35:29 UTC ( hace 25 minutos )

01Antivirus Resultado Actualización
AhnLab-V3 Spyware/Win32.Zbot 20120222
AntiVir – 20120222
Antiy-AVL – 20120213
Avast – 20120223
AVG – 20120223
BitDefender Gen:Trojan.Heur2.LVP.dSW@a8TfHPei 20120223
ByteHero – 20120222
CAT-QuickHeal – 20120222
ClamAV – 20120223
Commtouch – 20120222
Comodo – 20120223
DrWeb – 20120223
Emsisoft – 20120223
eSafe – 20120221
eTrust-Vet – 20120222
F-Prot – 20120222
F-Secure Gen:Trojan.Heur2.LVP.dSW@a8TfHPei 20120223
Fortinet – 20120223
GData Gen:Trojan.Heur2.LVP.dSW@a8TfHPei 20120223
Ikarus – 20120223
Jiangmin – 20120222
K7AntiVirus – 20120222
Kaspersky – 20120223
McAfee – 20120223
McAfee-GW-Edition – 20120222
Microsoft – 20120222
NOD32 – 20120223
Norman – 20120222
nProtect – 20120222
Panda – 20120222
PCTools – 20120221
Prevx – 20120224
Rising – 20120223
Sophos – 20120223
SUPERAntiSpyware – 20120206
Symantec – 20120223
TheHacker – 20120222
TrendMicro – 20120222
TrendMicro-HouseCall – 20120223
VBA32 – 20120222
VIPRE – 20120222
ViRobot – 20120222
VirusBuster – 20120222

Cabe fijarse que este último solo lo detectan 4 de los 43 AV del virustotal
Dicha version del ELISTARA 24.96 que los detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 24-2-2012