Nuevo CUTWAIL cazado por el ELISTARA por posible worm VBNA o CUTWAIL, todavía no detectado por los actuales AV
Estamos recibiendo detecciones de posible worm VBNA pedido por el ELISTARA, y analizada la muestra enviada, resulta ser un CUTWAIL, no detectado aun por ningun antivirus, como se ve en el informe del virustotal al respecto
SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
MD5: d41d8cd98f00b204e9800998ecf8427e
Tamaño: 0 bytes ( 0 bytes )
Nombre: L10ZVLU59V.EXE.Muestra EliStartPage v24.87
Tipo: unknown
Detecciones: 0 / 43
Fecha de análisis: 2012-02-16 10:09:07 UTC ( hace 0 minutos )
228193
Antivirus Resultado Actualización
AhnLab-V3 – 20120215
AntiVir – 20120216
Antiy-AVL – 20120213
Avast – 20120215
AVG – 20120216
BitDefender – 20120216
ByteHero – 20120211
CAT-QuickHeal – 20120214
ClamAV – 20120216
Commtouch – 20120216
Comodo – 20120215
DrWeb – 20120216
Emsisoft – 20120216
eSafe – 20120214
eTrust-Vet – 20120215
F-Prot – 20120215
F-Secure – 20120216
Fortinet – 20120216
GData – 20120216
Ikarus – 20120216
Jiangmin – 20120215
K7AntiVirus – 20120215
Kaspersky – 20120216
McAfee – 20120216
McAfee-GW-Edition – 20120215
Microsoft – 20120215
NOD32 – 20120216
Norman – 20120216
nProtect – 20120215
Panda – 20120215
PCTools – 20120216
Prevx – 20120216
Rising – 20120215
Sophos – 20120215
SUPERAntiSpyware – 20120206
Symantec – 20120216
TheHacker – 20120216
TrendMicro – 20120216
TrendMicro-HouseCall – 20120216
VBA32 – 20120214
VIPRE – 20120216
ViRobot – 20120216
VirusBuster – 20120215
Este CUTWAIL opera de similar modo al VBNA, por esto hasta ahora lo detectabamos heuristicamente como posible VBNA, pero al ser varias las detecciones de hoy al respecto, pasamos a indicar en la deteccion heuristica que pide muestra para analizar, como posible worm VBNA o CUTWAIL.
Por si fuera un VBNA, la procedente es escanear con el ELIVBNA
Pero si con ello no se detecta nada, puede tratarse de un CUTWAIL, y el ELISTARA lo irá detectando y pidienco muestra, pero sin poderlo eliminar, entonces, aparte de enviarnos dicha muestra para controlarlo especificamente, conviene ver si en C:\windows\system32\drivers existe un fichero.SYS con 16 digitos (8 bytes hexadecimales) y a dicho fichero añadirle la extension .VIR y enviarnoslo para analizar
Pero dicho renombre no será posible hacerlo si no se arranca con el CD de instalacion y se accede a la CONSOLA DE RECUPERACION, desde donde ir a la carpeta en cuestion (Con CD…) y con un REN hacer lo indicado. Una vez hecho, podrá arrancarse en modo normal y el ELISTARA ya podrá eliminar el CUTWAIL en cuestion.
Esta variante la pasamos a controlar a partir del ELISTARA 24.89 de hoy, que estará disponible en nuestra web a partir de LAS 19 h CEST.
saludos
ms, 16-2-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.