Nueva variante de AUTORUN VBML en varios ficheros con nombres de conocidos ficheros de sistema
Una nueva variante de este malware, del que ya conocemos otras 89, pasa a ser controlada a partir del ELISTARA 26.87 de hoy
Se propaga por pendrive, ocultando los ficheros que alli hubiera y creando un link con el mismo nombre cargando el malware, aparte de crear un AUTORUN.INF para su ingreso al insertarlo en ordenadores no protegidos con el ELIPEN.EXE (con el que aconsejamos vacunar tanto ordenadores como unidades de pendrive)
Otras acciones genéricas de este malware:
– Queda residente en memoria
– Detiene Procesos
– Intercepta por nombre, mas de 600 ficheros
(Antivirus, Cortafuegos, Utilidades, etc…)
– Oculta ficheros del sistema y extensiones.
– Oculta Opciones de Carpeta e Inicio/Ejecutar.
– Deshabilita la Restauracion del Sistema, el Editor del Registro,
el Administrador de Tareas y el Shell al DOS
– Detiene el Explorador de Windows si se accede a carpetas que en su
nombre contengan determinadas cadenas. (ejem. “Virus”)
– Sobrescribe el HOSTS
– Modifica las Paginas de Inicio y de Busqueda de Internet Explorer.
– Se añade a la Lista de Autorizaciones del Corta Fuegos de Windows
como “@xpsp2res.dll,-53342401”
El preanalisis de virustotal ofrece este informe:
SHA256: 2d49f26ced223745fcd4579b2b63ba3a682c9137d69c8d4944ef9a45e328d2f0
SHA1: d3410dfe7bf8e71e84c1862c7ed5eb5753c294aa
MD5: 6acbca272a0cfae43234f06bf77a6899
Tamaño: 111.0 KB ( 113696 bytes )
Nombre: INTERNET EXPLORER.EXE.Muestra EliStartPage v26.86
Tipo: Win32 EXE
Detecciones: 39 / 45
Fecha de análisis: 2013-01-14 09:24:31 UTC ( hace 1 minuto )
Antivirus Resultado Actualización
Agnitum VirTool.VBInject!veaPOEh8KH0 20130113
AhnLab-V3 Trojan/Win32.Jorik 20130113
AntiVir TR/Injector.WP 20130107
Antiy-AVL Trojan/Win32.Foreign 20130113
Avast Win32:Trojan-gen 20130114
AVG Generic29.COTA 20130114
BitDefender Gen:Variant.Kazy.93835 20130111
ByteHero – 20130111
CAT-QuickHeal Trojan.KillAv.DR 20130114
ClamAV – 20130114
Commtouch W32/Symmi.A.gen!Eldorado 20130114
Comodo TrojWare.Win32.Ransom.Foreign.QOT 20130114
DrWeb Win32.HLLW.Autoruner1.24454 20130114
Emsisoft Gen:Variant.Kazy.93835 (B) 20130114
ESET-NOD32 Win32/AutoRun.VB.XW 20130114
F-Prot W32/Symmi.A.gen!Eldorado 20130114
F-Secure Gen:Variant.Kazy.93835 20130114
Fortinet W32/Foreign.RPV!tr 20130113
GData Gen:Variant.Kazy.93835 20130114
Ikarus Trojan-Ransom.Win32.Foreign 20130114
Jiangmin Trojan/Foreign.bdi 20121221
K7AntiVirus Trojan 20130111
Kaspersky Trojan-Ransom.Win32.Foreign.rpv 20130114
Kingsoft Win32.Troj.Undef.(kcloud) 20130107
Malwarebytes Trojan.Ransom 20130114
McAfee Generic.dx!bgbl 20130114
McAfee-GW-Edition Generic.dx!bgbl 20130114
Microsoft VirTool:Win32/VBInject 20130114
MicroWorld-eScan – 20130114
NANO-Antivirus Trojan.Win32.Foreign.zxbdy 20130114
Norman W32/Troj_Generic.EUUGQ 20130114
nProtect Trojan/W32.Foreign.113696 20130114
Panda Trj/OCJ.A 20130113
PCTools Trojan.ADH 20130114
Rising – 20130114
Sophos Mal/Generic-L 20130114
SUPERAntiSpyware – 20130113
Symantec Trojan.ADH 20130114
TheHacker Trojan/AutoRun.VB.xw 20130112
TotalDefense – 20130113
TrendMicro TROJ_SPNR.07JM12 20130114
TrendMicro-HouseCall TROJ_SPNR.07JM12 20130114
VBA32 Hoax.Foreign.rpv 20130114
VIPRE Trojan.Win32.VBInject.pcc (v) 20130114
ViRobot Trojan.Win32.A.Foreign.113696 20130114
Dicha version del ELISTARA 26.87 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 14-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.