Variante de CUTWAIL ocultado por .SYS (analisis de los dos)
Como es sabido, los CUTWAIL están protegido por un driver .SYS que impide su eliminacion.
Dicho .SYS es tambien “Intocable” si no se arranca con otro medio (está en la carpeta DRIVERS)
Una vez eliminado dicho .SYS (que se identifica al tener 16 digitos de nombre y estar en la carpeta de los DRIVERS), para lo cual se puede arrancar con el CD de instalaicon y proceder a su eliminacion desde la CONSOLA DE RECUPERAICON, ya se podrá eliminar dicho CUTWAIL, a partir del ELISTARA de hoy, 24.92
Los preanalisis de dichos ficheros con el virustotal son:
CUTWAIL:
SHA256: 0e40f622416a2ecd36d2f201a23cd8d7d51f166a8c04357f7f087ecf06f75118
SHA1: e2b7fa6ed640faf116612011bd2e3e5a30e51c66
MD5: 13748449a69646107580d523d9efb646
Tamaño: 20.4 KB ( 20928 bytes )
Nombre: jmll85iuwu.exe.vir
Tipo: Win32 EXE
Detecciones: 26 / 43
Fecha de análisis: 2012-02-20 07:46:31 UTC ( hace 0 minutos )
01
Antivirus Resultado Actualización
AhnLab-V3 Trojan/Win32.Kazy 20120220
AntiVir TR/Crypt.XPACK.Gen 20120220
Antiy-AVL Trojan/Win32.Agent2.gen 20120213
Avast Win32:Dropper-KAV [Drp] 20120219
AVG – 20120220
BitDefender Gen:Variant.Kazy.53596 20120220
ByteHero – 20120216
CAT-QuickHeal Trojan.Agent2.exym 20120220
ClamAV – 20120220
Commtouch – 20120220
Comodo UnclassifiedMalware 20120220
DrWeb Trojan.Siggen3.45560 20120220
Emsisoft Trojan-Downloader.Win32.Cutwail!IK 20120220
eSafe – 20120219
eTrust-Vet – 20120217
F-Prot – 20120219
F-Secure Gen:Variant.Kazy.53596 20120220
Fortinet W32/Agent2.EXYM!tr 20120220
GData Gen:Variant.Kazy.53596 20120220
Ikarus Trojan-Downloader.Win32.Cutwail 20120220
Jiangmin Trojan/Agent.fups 20120219
K7AntiVirus Trojan 20120217
Kaspersky Trojan.Win32.Agent2.exym 20120220
McAfee Downloader.a!b2x 20120220
McAfee-GW-Edition Downloader.a!b2x 20120219
Microsoft TrojanDownloader:Win32/Cutwail.BO 20120220
NOD32 a variant of Win32/Kryptik.AAIG 20120220
Norman W32/Troj_Generic.TTDJ 20120219
nProtect – 20120220
Panda Generic Trojan 20120219
PCTools – 20120217
Prevx – 20120220
Rising – 20120220
Sophos – 20120220
SUPERAntiSpyware – 20120206
Symantec Trojan Horse 20120220
TheHacker Trojan/Agent2.exym 20120220
TrendMicro – 20120220
TrendMicro-HouseCall – 20120220
VBA32 – 20120217
VIPRE Trojan.Win32.Generic!BT 20120220
ViRobot – 20120220
VirusBuster Trojan.Kryptik!wjrRfmSdJTc 20120219
______
driver protector de dicho CUTWAIL:
SHA256: c2b7ae0f8dad9c331a8eac8fc2712e58d0855368bcfacf82803b65176e9d609a
SHA1: 5ddfaee65e62315c31291f881c314232df97ba4d
MD5: 699637166cc5aab52577472e4b58c6c9
Tamaño: 42.1 KB ( 43136 bytes )
Nombre: dksgfdhd
Tipo: Win32 EXE
Detecciones: 22 / 43
Fecha de análisis: 2012-02-11 12:36:32 UTC ( hace 1 semana, 1 día )
03Antivirus Resultado Actualización
AhnLab-V3 – 20120210
AntiVir Rkit/Agent.cwdl 20120210
Antiy-AVL Rootkit/Win32.Agent 20120210
Avast Win32:Crypt-LIK [Rtk] 20120211
AVG BackDoor.Generic15.GNH 20120211
BitDefender – 20120211
ByteHero – 20120210
CAT-QuickHeal Rootkit.Agent.cwd 20120211
ClamAV – 20120211
Commtouch – 20120211
Comodo UnclassifiedMalware 20120211
DrWeb – 20120211
Emsisoft Rootkit.Win32.Agent!IK 20120211
eSafe – 20120208
eTrust-Vet – 20120211
F-Prot – 20120209
F-Secure – 20120211
Fortinet W32/Agent.CWDL!tr.rkit 20120211
GData Win32:Crypt-LIK 20120211
Ikarus Rootkit.Win32.Agent 20120211
Jiangmin – 20120210
K7AntiVirus – 20120210
Kaspersky Rootkit.Win32.Agent.cwdl 20120211
McAfee Generic.dx!bc3b 20120211
McAfee-GW-Edition Artemis!699637166CC5 20120210
Microsoft – 20120211
NOD32 a variant of Win32/Rootkit.Kryptik.HT 20120211
Norman W32/Rootkit.CYVS 20120211
nProtect – 20120211
Panda – 20120211
PCTools – 20120207
Prevx – 20120211
Rising – 20120210
Sophos Troj/Agent-UUI 20120211
SUPERAntiSpyware – 20120206
Symantec Hacktool.Rootkit 20120211
TheHacker Trojan/Agent.cwdl 20120210
TrendMicro RTKT_AGENT.BBHR 20120211
TrendMicro-HouseCall RTKT_AGENT.BBHR 20120211
VBA32 – 20120210
VIPRE Trojan.Win32.Generic!BT 20120211
ViRobot – 20120211
VirusBuster Rootkit.Agent!vi6Ab5IFJG8 20120211
Dicha version del ELISTARA 24.92 que los detecta y elimina (arrancando con otro medio distinto al disco duro infectado) estará disponible en la web a partir de las 19 h CEST de hoy
saludos
ms, 20-2-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.