Variante de AUTORUN.BBD y el complementario que utiliza para su lanzamiento
El AUTORUN.BBD es un malware que nos ha llegado en dos ocasiones infectado con el SALITY, virus infector de todos los ejecutables.
Aparte de la infeccion del SALITY, que debe limpiarse con el antivirus que lo detecte, siendo aconsejable para ello hacerlo arrancando con otro medio, Live CD o con el disco infectado como esclavo, este AUTORUN.BBD y el complementario de marras pasan a ser controlados a partir del ELISTARA 25.35 de hoy
Dicho AUTORUN.BBD se caracteriza por:
Quedar residente (multiples procesos activos)
Infectar Pendrives
Ocultar ficheros del sistema.
Ocultar Extensiones .COM y .EXE
Deshabilitar el Administrador de Tareas y el Editor del Registro
Interceptar los tipo de Archivo “MSCfile” y “REGfile”
Impedir arrancar en “Modo Seguro”
Y utiliza el fichero BOOM.VBS en un SCRIPT de esta clave:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts\Logoff]
“Parameters”=”
“Script”=”C:\WINDOWS\Cursors\Boom.vbs”
El preanalisis con virustotal de dicho fichero BOOM.VBS ofrece el siguiente informe:
SHA256: 7b03603cbc56105470b4bfb250d0ef18fa93126475e2872d63dc52c35866d2a9
SHA1: a37a9f18e227d103bb4e1ecac0834c2cdf99d112
MD5: e72c9789ac7232e3b36766eb2a8f8da6
Tamaño: 4.3 KB ( 4356 bytes )
Nombre: Boom vbs
Tipo: unknown
Detecciones: 33 / 42
Fecha de análisis: 2012-04-24 10:07:46 UTC ( hace 0 minutos )
01Más detalles
Antivirus Resultado Actualización
AhnLab-V3 VBS/Runner 20120423
AntiVir TR/Runner.BE 20120424
Antiy-AVL – 20120424
Avast VBS:Malware-gen 20120424
AVG – 20120424
BitDefender Win32.Worm.Autorun.JB 20120424
ByteHero – 20120423
CAT-QuickHeal – 20120424
ClamAV VBS.Agent-51 20120424
Commtouch VBS/Runner.G 20120424
Comodo TrojWare.VBS.Runner.be 20120424
DrWeb Win32.HLLW.Autoruner.2340 20120424
Emsisoft Trojan.VBS.Runner.be!A2 20120424
eSafe – 20120423
eTrust-Vet VBS/SillyAutorun.HA 20120423
F-Prot VBS/Runner.G 20120423
F-Secure Win32.Worm.Autorun.JB 20120424
Fortinet VBS/Runner.BE!tr 20120424
GData Win32.Worm.Autorun.JB 20120424
Ikarus – 20120424
Jiangmin Trojan/VBS.qq 20120424
K7AntiVirus Trojan 20120420
Kaspersky Trojan.VBS.Runner.be 20120424
McAfee VBS/Autorun.worm.bi 20120424
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.B 20120423
Microsoft Trojan:VBS/Autorun.A 20120424
NOD32 Win32/AutoRun.NAE 20120424
Norman Suspicious_Gen2.EXAMI 20120424
nProtect Win32.Worm.Autorun.JB 20120423
Panda W32/Autorun.XW.worm 20120424
PCTools Net-Worm.SillyFDC!rem 20120423
Rising Trojan.Script.VBS.Agent.aq 20120424
Sophos – 20120424
SUPERAntiSpyware – 20120402
Symantec W32.SillyFDC 20120424
TheHacker Trojan/autorun.gen 20120424
TrendMicro VBS_AUTORUN.DMS 20120424
TrendMicro-HouseCall VBS_AUTORUN.DMS 20120424
VBA32 Trojan.VBS.Runner.be 20120422
VIPRE Trojan.VBS.Autorun.a (v) 20120424
ViRobot Spyware.Startup.VBS.4356 20120424
VirusBuster – 20120423
Dicha version del ELISTARA 25.35 que detecta y elimina tanto el AUTORUN.BBD como el complementario en cuestion, estarán disponibles en nuestra web a partir de las 19 h CEST de hoy
Saludos
ms, 24-4-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.