Nuevo engendro de JS que bautizamos con el nombre de AUTORUN.JS, apenas detectado por los actuales AV (solo 1 de 46)

Un nuevo bicho de armas tomar, que resulta ser un Javascript cifrado que infecta pendrives, lo hemos pasado a controlar especificamente a partir del ELISTARA 27.35.

Queda residente en memoria y como hemos dicho infecta pendrives, oculta carpetas y extensiones de ficheros si son visibles, y crea links con icono de las carpetas ocultadas, lanzando al malware.

Anula OPCIONES DE CARPETA para que no se pueda volver a implementar la visualizacion de extensiones, lo cual delata las carpetas “ejecutables”

Impide el acceso a las Propiedades de “Mi PC” y del Escritorio y al Panel de Control

Detiene el proceso del Editor de Registro

Desactiva las Actualizaciones Automáticas, la Restauración del Sistema y las Notificaciones del Centro de Seguridad de Windows

Tambien ntenta otras restricciones que no funcionan por utilizar en ciertas claves del registro de sistema, ordenes de texto en lugar de un DWORD   “DisableTaskMgr”, “DisableRegistryTools”, “DisableCMD”,…

Crea dos ficheros malwares en:
%Archivos de Programa%\ fc\ fd79.js
%Datos de programa%\ e37\ f566.js

que lanza en los enlaces a carpetas ocultadas y en claves del registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“f566″=”C:\Documents and Settings\Administrador\Datos de programa\e37\f566.js”
y otro fichero  e3e\gf26.js que lanza desde el AUTORUN.INF :

[autorun]
shell\explore\command=e3e\gf26.js
open=e3e\gf26.js
shellexecute=e3e\gf26.js
shell\open\command=e3e\gf26.js

EL preanalisis de virustotal ofrece el siguiente informe:

SHA256: 406d8eb0696928727a4f92c3e40965fc6d8e10a7167c5a30e1c76f29e85c253e
SHA1: f2408f6d8920fa9ede0978ff9482143d96f9e2bd
MD5: 01e28a6a409383769e25a697f7c1681d
Tamaño: 44.9 KB ( 45955 bytes )
Nombre: gadd4.js
Tipo: Text
Detecciones: 1 / 46
Fecha de análisis: 2013-03-26 14:09:20 UTC ( hace 0 minutos )

0 2 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus  Resultado  Actualización
Agnitum  –  20130326
AhnLab-V3  –  20130326
AntiVir  –  20130326
Antiy-AVL  –  20130326
Avast  –  20130326
AVG  –  20130326
BitDefender  –  20130326
ByteHero  –  20130322
CAT-QuickHeal  –  20130326
ClamAV  –  20130326
Commtouch  –  20130326
Comodo  –  20130326
DrWeb  –  20130326
Emsisoft  –  20130326
eSafe  –  20130324
ESET-NOD32  –  20130326
F-Prot  –  20130326
F-Secure  –  20130326
Fortinet  –  20130326
GData  –  20130326
Ikarus  –  20130326
Jiangmin  –  20130326
K7AntiVirus  Trojan  20130325
Kaspersky  –  20130326
Kingsoft  –  20130325
Malwarebytes  –  20130326
McAfee  –  20130326
McAfee-GW-Edition  –  20130326
Microsoft  –  20130326
MicroWorld-eScan  –  20130326
NANO-Antivirus  –  20130326
Norman  –  20130326
nProtect  –  20130326
Panda  –  20130326
PCTools  –  20130326
Rising  –  20130322
Sophos  –  20130326
SUPERAntiSpyware  –  20130326
Symantec  –  20130326
TheHacker  –  20130324
TotalDefense  –  20130326
TrendMicro  –  20130326
TrendMicro-HouseCall  –  20130326
VBA32  –  20130326
VIPRE  –  20130326
ViRobot  –  20130326

Dicha version del ELISTARA 27.35 que lo detecta y elimina, ya está disponible en nuestra web

saludos

ms, 26-3-2013