NUEVA VARIANTE DE RANSOM TOBFY (virus de la policia) que elimina la clave SAFE BOOT

A partir del ELISTARA 28.03 de hoy ya se controlará especificamente esta nueva variante

Al eliminar la clave del Safe Boot no permite arrancar en MODO SEGURO, pero cabe arrancar con otro usuario no infectado, y lanzar el ELISTARA, o con un LIVECD como el que ofrecemos a los clientes que tiene contratado nuestro servicio de asistencia tecnica, y tras pulsar en ACTUALIZAR LOS DAT, lanzar un SCAN, que lo localizará y eliminará.

La pantalla de bloqueo en esta caso muestra la siguiente imagen:

Imagen

 

Esta nueva variante del “virus de la policia” llega por mail con el siguiente texto:

_____________

Asunto: Re: informacion
De: “Order”
Fecha: 03/07/2013 17:07
Para:

Gentile utente,

En su solicitud en nuestro foro de 01.07.2013

Le enviamos la informacion son adecuados:
http://IP alemana/Info.zip

_______________

La IP indicada en el mail, de donde descarga el Info.zip, es de Alemania:

netname: ANTAGUS-HOUSING1-NET
descr: Antagus Serverhousing
country: DE
admin-c: VNOC5-RIPE
tech-c: VNOC5-RIPE
status: ASSIGNED PA
mnt-by: ANTAGUS-MNT
source: RIPE # Filtered

La descarga desde el link que indica el mail baja un fichero INFO.ZIP, que desempaquetado ofrece un fichero con doble extension, la ultima despues de muchos espacios desde la primera:

Info.Pdf. ………//……… .exe

 

La ejecución de dicho fichero accede a una web rusa:

“http://hohpoknhgn.xxxxxxxxxx.ru”

que segun la IP está en Ukraina:

Country: Ukraine
State/Region: Vinnyts’ka Oblast’
City: Ivanov
Latitude: 49.4859 (49° 29′ 9.24″ N)
Longitude: 28.3482 (28° 20′ 53.52″ E)

 

El preanalisis de virustotal ofrece el siguiente informe:

SHA256: 837eaaee10aaf84e173d9754736901ff579455a8f4163b8270af88b07ef393fe
SHA1: 2e1c0370fc4b350d5f8ae4400a1cf706fac384bd
MD5: 30ae49e2bd4b63e643c5a714fbccb3ee
Tamaño: 34.0 KB ( 34816 bytes )
Nombre: Info.Pdf_________________________________________________________…
Tipo: Win32 EXE
Detecciones: 28 / 47
Fecha de análisis: 2013-07-04 07:53:26 UTC ( hace 0 minutos )

0 2 Más detalles Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20130703
AhnLab-V3 Trojan/Win32.Foreign 20130704
AntiVir TR/Downloader.Gen 20130704
Antiy-AVL  20130702
Avast Win32:Malware-gen 20130704
AVG  20130704
BitDefender Gen:Trojan.Heur.RP.cmGfa8vsLom 20130701
ByteHero  20130613
CAT-QuickHeal  20130704
ClamAV  20130704
Commtouch W32/Trojan.HTWD-6076 20130704
Comodo UnclassifiedMalware 20130704
DrWeb  20130704
Emsisoft Gen:Trojan.Heur.RP.cmGfa8vsLom (B) 20130704
eSafe  20130703
ESET-NOD32 a variant of Win32/LockScreen.AXE 20130704
F-Prot  20130704
F-Secure Gen:Trojan.Heur.RP.cmGfa8vsLom 20130704
Fortinet W32/LockScreen.AXE 20130704
GData Gen:Trojan.Heur.RP.cmGfa8vsLom 20130704
Ikarus  20130704
Jiangmin  20130704
K7AntiVirus Trojan 20130703
K7GW Trojan 20130703
Kaspersky Trojan-Ransom.Win32.Foreign.evml 20130704
Kingsoft Win32.HeurC.KVM099.a.(kcloud) 20130506
Malwarebytes Trojan.Ransom.SRP 20130704
McAfee RDN/Ransom!de 20130704
McAfee-GW-Edition Artemis!30AE49E2BD4B 20130704
Microsoft Trojan:Win32/Tobfy.M 20130704
MicroWorld-eScan  20130702
NANO-Antivirus Trojan.Win32.LockScreen.bwbzgq 20130704
Norman Troj_Generic.MMFZY 20130703
nProtect  20130704
Panda Trj/Genetic.gen 20130703
PCTools  20130704
Rising  20130704
Sophos Mal/Behav-031 20130704
SUPERAntiSpyware  20130704
Symantec WS.Reputation.1 20130704
TheHacker Posible_Worm32 20130703
TotalDefense  20130703
TrendMicro TROJ_TOBFY.HB 20130704
TrendMicro-HouseCall TROJ_TOBFY.HB 20130704
VBA32  20130702
VIPRE Trojan.Win32.Generic!BT 20130704
ViRobot  20130704

Dicha version del ELISTARA 28.03 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 4-7-2013

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies