UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUX
Nos hemos encontrado con una especie de Rootkit, descargado por FAKE WRITE, que al ejecutarse
– Queda residente. (utilizando como proceso activo el”WUAUCLT.EXE”)
– Oculta ficheros del sistema.
– Intercepta algunas aplicaciones como “hijackthis.exe”, “rstrui.exe”, “spybotsd.exe”, etc
– El Nombre de la Carpeta especial donde se esconde, asi como el Fichero y el Valor del Registro varian según sistema.
Mientras esté activo, dicha carpeta especial, tiene propiedades de la carpeta de “Impresoras”, con contenido no visible.
Mientras está en uso, no se puede eliminar ni la Carpeta ni las claves del registro de lanzamiento.
Por ello es muy importante para su detección y eliminación, arrancar en MODO SEGURO, y en dicho modo, lanzar el ELISTARA.
El preanalisis de virustotal, nos muestra este informe:
SHA256: 56922e73930b1c2a79dc422bf3b7d23cf8e5683c7022b5723d2dd7f56cb7811a
SHA1: 42bb4719528d9138e84d1fe560770e33f335419e
MD5: c1c917feab6c7a4340c692ffc1793fae
Tamaño: 280.0 KB ( 286720 bytes )
Nombre: xkrtxopie.exe
Tipo: DOS EXE
Detecciones: 28 / 46
Fecha de análisis: 2013-05-06 13:27:42 UTC ( hace 0 minutos )
0 2 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum Trojan.DR.Agent!i/UYT9sT4+E 20130505
AhnLab-V3 Dropper/Win32.Agent 20130506
AntiVir TR/Drop.Agent.hkch 20130506
Antiy-AVL 20130506
Avast 20130506
AVG SHeur4.BHGJ 20130506
BitDefender Trojan.Generic.9018710 20130506
ByteHero 20130425
CAT-QuickHeal 20130506
ClamAV 20130506
Commtouch W32/Trojan.NYWF-7106 20130506
Comodo TrojWare.Win32.Trojan.Agent.Gen 20130506
DrWeb Trojan.PWS.Siggen1.1437 20130506
Emsisoft Trojan.Win32.Agent.AMN (A) 20130506
eSafe 20130501
ESET-NOD32 a variant of Win32/Kryptik.AZUM 20130506
F-Prot 20130506
F-Secure Trojan.Generic.9018710 20130506
Fortinet W32/Agent.HKCH!tr 20130506
GData Trojan.Generic.9018710 20130506
Ikarus Trojan-Dropper.Win32.Agent 20130506
Jiangmin 20130506
K7AntiVirus 20130503
K7GW 20130503
Kaspersky Trojan-Dropper.Win32.Agent.hkch 20130506
Kingsoft 20130506
Malwarebytes Trojan.Agent 20130506
McAfee Artemis!C1C917FEAB6C 20130506
McAfee-GW-Edition Artemis!C1C917FEAB6C 20130506
Microsoft 20130506
MicroWorld-eScan Trojan.Generic.9018710 20130506
NANO-Antivirus Virus.Win32.Gen.ccmw 20130506
Norman Troj_Generic.KUQBA 20130506
nProtect Trojan.Generic.9018710 20130506
Panda Trj/OCJ.E 20130506
PCTools 20130506
Sophos 20130506
SUPERAntiSpyware 20130506
Symantec WS.Reputation.1 20130506
TheHacker 20130505
TotalDefense 20130503
TrendMicro TROJ_SPNR.14E413 20130506
TrendMicro-HouseCall TROJ_SPNR.14E413 20130506
VBA32 Heur.Trojan.Hlux 20130506
VIPRE Trojan.Win32.Generic!BT 20130506
ViRobot 20130506
A partir del ELISTARA 27.61 de hoy, se ha potenciado su detección por acción directa, detectando las claves de lanzamiento, siempre y cuando se esté operando en MODO SEGURO.
Dicha versión del ELISTARA 27.61 que lo detecta y elimina, estará disponible en neustra web a partir de las 19 h CEST de hoy
saludos
ms, 6-5-2013
NOTA:
añade clave detras del nombre de la carpeta de marras (oculta con atributos +s +h), lo que le da propiedades espèciales, por ejemplo “%Archivos de Programa%\Common
Files\894fy894yt98.{2227A280-3AEA-1069-A2DE-08002B30309D}\xkrtxopie.exe”
Con ello Mientras esté activo, se convierte en una carpeta con propiedades de la carpeta de “Impresoras” cuyo contenido no es visible.
REPETIMOS : ES MUY IMPORTANTE ARRANCAR EN MODO SEGURO PARA PODER CONTROLARLO !!!
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.