NUEVA VARIANTE DE MALWARE QUE SE ACTIVA POR PENDRIVE, ya cazada por la heurística del VirusScan de McAfee

Una nueva muestra que hemos recibido para analizar, ha resultado ser de los malwares que se afectan a pendrives, y en anteriores variantes de la misma familia ZAPCHAST, escondía los DOC a EXE y en su lugar dejaba una copia del malware, para que siguiera propagando y/o afectando a través de pendrive

En este caso vemos que crea un AUTORUN con instrucciones como:

OUTLOOK Bandeja de entrada – @ – Microsoft Outlook

[Delete][Delete][Delete][Delete]

Por lo que es de temer que los mails de la bandeja de entrada sean borrados…

A partir del ELISTARA 28.21 controlaremos específicamente esta nueva variante, y mientras tanto, ya la heuristica del virusScan de McAfee lo detecta con su motor ARTEMIS, con el código 4B88955638B8

RecOrdamos que con nuestro ELIPEN.EXE , se evita a autoejecucion de estos pendrives infectados, aparte de proteger a dichas unidades si se les vacuna con dicha utilidad.

El preanalisis de virustotal ofrece este informe:

SHA256: 7b5a4d6e9d2f289b34cd6f04967226890a3bc5b18f348f3aa8eb1e212513a9ad
SHA1: 41f961b84258cd498bb1e47624385bba10007298
MD5: 4b88955638b8c1c2e1e7e36ca1266548
Tamaño: 288.7 KB ( 295640 bytes )
Nombre: cc79abff0a7fd2e71c3abf986bcb8494.exe
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 18 / 46
Fecha de análisis: 2013-08-01 05:26:10 UTC ( hace 3 horas, 43 minutos )

0 0 Más detalles Análisis File detail Información adicional Comentarios Votos Información de comportamiento Antivirus Resultado Actualización
Agnitum  20130731
AhnLab-V3  20130801
AntiVir TR/Drop.Agent.mnm.1 20130801
Antiy-AVL  20130801
Avast Win32:Dropper-MNM [Drp] 20130801
AVG  20130731
BitDefender  20130801
ByteHero  20130724
CAT-QuickHeal  20130801
ClamAV  20130801
Commtouch  20130801
Comodo UnclassifiedMalware 20130801
DrWeb  20130801
Emsisoft  20130801
ESET-NOD32  20130731
F-Prot  20130801
F-Secure  20130801
Fortinet W32/Zapchast.VTB!tr 20130801
GData Win32.Trojan.Agent.WWE8C5 20130801
Ikarus Trojan.Msil 20130801
Jiangmin  20130801
K7AntiVirus  20130731
K7GW  20130731
Kaspersky Trojan.MSIL.Zapchast.vtb 20130731
Kingsoft Win32.Troj.Agent.ap.(kcloud) 20130723
Malwarebytes  20130801
McAfee Artemis!4B88955638B8 20130801
McAfee-GW-Edition Artemis!4B88955638B8 20130801
Microsoft  20130801
MicroWorld-eScan  20130801
NANO-Antivirus  20130731
Norman Troj_Generic.KKWGZ 20130731
nProtect  20130801
Panda Trj/OCJ.E 20130731
PCTools  20130731
Rising  20130801
Sophos Mal/Generic-S 20130801
SUPERAntiSpyware  20130801
Symantec WS.Reputation.1 20130801
TheHacker Trojan/Bladabindi.p 20130731
TotalDefense  20130731
TrendMicro TROJ_SPNR.03FC13 20130801
TrendMicro-HouseCall TROJ_SPNR.03FC13 20130801
VBA32  20130730
VIPRE Trojan.Win32.Generic!BT 20130801
ViRobot  20130801

Dicha version del ELISTARA 28.21 que lo detectará y eliminará, y además restaurará los atributos de los ficheros que hubiera ocultado, estará disponible a partir de las 15 h CEST del proximo 26/8.

Pero notese que en esta caso parece que quiere borrar los mails de la bandeja de entrada, lo cual no podrá ser restablecido facilmente …

Conviene mantener el antivirus activo y siempre actualizado !

saludos

ms, 1-8-2013