DETALLES DE LA VARIANTE DEL MALWARE AUTORUN.ANTIAV MONITORIZADA HOY

Al tratarse de un malware con acciones especiales en el HOSTS, ademas de infectar pendrives a traves del AUTORUN.INF y de bloquear el acceso a muchos ficheros, resumimos a continuacion algunas de las caracteristicads mas sobresalientes de este malware, que impide instalar y actualizar cualquier antivirus:

Se trata de un malware residente en memoria que infecta unidades pendrive , además de A: si la hubiera y del dico duro C:

Crea ficheros AUTORUN.INF y SYSANTI.EXE, con atributos de oculto y de sistema (+H +S)

Crea ademas DLL con nombre de 5 caracteres aleatorios, de las que puede haber varias identicas

Impide el acceso a los siguientes ficheros:

360hotfix.exe
360rpt.exe
360Safe.exe
360safebox.exe
360tray.exe
adam.exe
AgentSvr.exe
AntiArp.exe
AppSvc32.exe
arvmon.exe
AutoGuarder.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
findt2005.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
IsHelp.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
killhidepid.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
kvfw.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
LiveUpdate360.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavCopy.exe
RavMon.exe
RavMonD.exe
RavStore.exe
RavStub.exe
ravt08.exe
RavTask.exe
RegClean.exe
RegEx.exe
rfwcfg.exe
RfwMain.exe
rfwolusr.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
RsMain.exe
rsnetsvr.exe
RSTray.exe
runiep.exe
safebank.exe
safeboxTray.exe
safelive.exe
scan32.exe
ScanFrm.exe
shcfg32.exe
smartassistant.exe
SmartUp.exe
SREng.exe
SREngPS.exe
symlcsvc.exe
syscheck.exe
Syscheck2.exe
SysSafe.exe
ToolsUp.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
WoptiClean.exe
zxsweep.exe]
Contenido del Autorun.inf que instala

[AutoRun]
Open=SysAnti.exe
Shell\Open=´ò¿ª(&O)
Shell\Open\Command=SysAnti.exe
Shell\Open\Default=1
Shell\Explore=×ÊÔ´¹ÜÀíÆ÷(&X)
Shell\Explore\Command=SysAnti.exe

Sobrescribe el HOSTS con el siguiente contenido:

127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 virscan.org
127.0.0.1 www.virscan.org
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
127.0.0.1 www.kafan.cn
127.0.0.1 bbs.kafan.cn

(todas las URL indicadas, entre las que se encuentran las de las principales casas antivirus, no podrá accederse ya que estan redireccionadas al LOCAL HOST)

Recomendamos arrancar en MODO SEGURO y en dicho modo., lanzar el ELISTARA para eliminarlo, o bien se necesitara reiniciar para terminar la limpiueza.

Con el actual ELISTARa de hoy, 27.16 , se detecta y elimina hasta la última version conocida de este malware, asi como se restauran las claves modificadas, incluido el contenido del HOSTS y se pide muestra de nuevas variantes, aparcando el malware en >C:\muestras

saludos

ms, 26-2-2013

NOTA: Como siempre para estos malwares que se propagan a traves del AUTORUN.INF  del pendrive, se recomienda vacunar ordenadores y pendrives con nuestro ELIPEN.EXE.  ms.