NUEVAS VARIANTES DE FAKEWRITE / GAMARUE
La familia del downloader FAKEWRITE, llamada asi porque inicialmente presentaba icono (falso) del WRITE de windows, aunque ahora viene con otros de aplicaciones conocidas variadas, genera el GAMARUE, al ser ejecutado, el cual es un sofisticado downloader, infectando pendrives a base de crear links al malware con el nombre de la unidad en cuestion, escondiendo el contenido de dicha unidad en una carpeta cuyo nombre es el caracter ALT255 (código nulo) con atributo +S +H
Si se encuentran todos los ficheros integros, (sin haber sido manipulados por ningun antivirus), el ELISTARA los detecta y elimina, restaurando el contenido inicial del pendrive en cuestion.
Tambien se eliminan ficheros complementarios, como el AUTORUN.INF (en este caso de cero bytes), el THUMBS.DB, el DESKTOP.INI y el fichero que indique el link malicioso.
Un pendrive infectado presenta la siguientes caracteristicas:
El fichero que aparece en este caso _WVXUDFGJTJ.NIL es variable, incluso su extension, que en otras infecciones ha resultado ser .KRNL, .FAT, INIT, etc, y realiza funciones sobre el THUMBS.DB, posiblemente de decodificación.
A partir del ELISTARA 27.88 se controla esta variante.
El preanalisis del virustotal de la ultima muestra reportada
SHA256: 1163443d48ec356c4cb2a78d31fd94d8c5e5bc04802d3015df82945daf2951a4
SHA1: 869d8dd088a3f8a84b0982afb25071f92a31f44d
MD5: 1acb4d4b788e2bbc429411b1f2df71e6
Tamaño: 94.2 KB ( 96446 bytes )
Nombre: ccaqoi.exe.vir
Tipo: Win32 EXE
Detecciones: 31 / 47
Fecha de análisis: 2013-06-13 08:59:02 UTC ( hace 0 minutos )
0 1 Más detalles Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum Trojan.Kryptik!9qAPpQ5YFRY 20130612
AhnLab-V3 Trojan/Win32.Agent 20130613
AntiVir TR/Agent.109347 20130613
Antiy-AVL 20130612
Avast Win32:Malware-gen 20130613
AVG Crypt.CEJE 20130613
BitDefender Trojan.GenericKDZ.19521 20130613
ByteHero 20130613
CAT-QuickHeal Worm.Gamarue.B 20130613
ClamAV 20130613
Commtouch 20130613
Comodo TrojWare.Win32.Kryptik.BBYD 20130613
DrWeb Trojan.Packed.24313 20130613
Emsisoft Trojan.GenericKDZ.19521 (B) 20130613
eSafe 20130610
ESET-NOD32 a variant of Win32/Kryptik.BBYD 20130613
F-Prot 20130613
F-Secure Trojan.GenericKDZ.19521 20130613
Fortinet W32/Kryptik.BBYD!tr 20130613
GData Trojan.GenericKDZ.19521 20130613
Ikarus Trojan.CryptEJE 20130613
Jiangmin 20130613
K7AntiVirus Trojan 20130612
K7GW Trojan 20130612
Kaspersky HEUR:Trojan.Win32.Generic 20130613
Kingsoft Win32.Troj.Undef.(kcloud) 20130506
Malwarebytes Trojan.Agent 20130613
McAfee Generic.gl.gen.a 20130613
McAfee-GW-Edition Generic.gl.gen.a 20130613
Microsoft 20130613
MicroWorld-eScan Trojan.GenericKDZ.19521 20130613
NANO-Antivirus 20130613
Norman 20130613
nProtect Trojan.GenericKDZ.19521 20130613
Panda Trj/Genetic.gen 20130612
PCTools 20130521
Rising 20130613
Sophos Mal/Inject-EA 20130613
SUPERAntiSpyware Trojan.Agent/Gen-Undef 20130613
Symantec Trojan.Gen 20130613
TheHacker Trojan/Kryptik.bbyd 20130612
TotalDefense 20130613
TrendMicro WORM_GAMARUE.SMN 20130613
TrendMicro-HouseCall WORM_GAMARUE.SMN 20130613
VBA32 20130612
VIPRE 20130613
ViRobot 20130613
Dicha version del ELISTARA 27.88 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 13-6-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.