Nueva variante de troyano REVETON (virus de la policia) en fichero WGSDGSDGDSGSD.EXE de la carpeta de sistema

Una nueva variante del conocido virus de la policia llega ahora en este .EXE, a diferencia de otros que con el mismo nombre de fichero eran DLL que se cargaban en un link desde la carpeta de inicio (CTFMON.LNK, RUNCTF.LNK, MSCONFIG.LNK), lanzando el fichero desde la carpeta de usuario, mientras que este se instala en la carpeta de sistema y es lanzado desde dos claves de registro de nombre [UPDATE]

A partir del ELISTARA 27.53 de hoy pasamos a controlar especificamente esta nueva variante.

El preanalisis de virustotal ofrece el siguiente informe:
SHA256: f2801c5edd57d3a8496941ca4ca97f3e2af3f0ef2ff67d5a66d0f51c7e332609
SHA1: 4931e377c2b4963ebd9b496c75187b9108636b2a
MD5: 700d49f71466cbd47023d03f3fdc39fd
Tamaño: 177.0 KB ( 181248 bytes )
Nombre: WGSDGSDGDSGSD.EXE.Muestra EliStartPage v27.51
Tipo: Win32 EXE
Detecciones: 39 / 46
Fecha de análisis: 2013-04-23 07:56:01 UTC ( hace 0 minutos )

0 1 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus  Resultado  Actualización
Agnitum   20130422
AhnLab-V3  Trojan/Win32.PornoAsset  20130422
AntiVir  TR/Kryptik.EB.9  20130423
Antiy-AVL   20130423
Avast  Win32:Crypt-OOO [Trj]  20130423
AVG  Generic30.BBNI  20130423
BitDefender  Trojan.Generic.KDZ.552  20130423
ByteHero   20130418
CAT-QuickHeal  TrojanRansom.PornoAsset.bkfv  20130423
ClamAV   20130423
Commtouch  W32/Zbot.IR.gen!Eldorado  20130423
Comodo  TrojWare.Win32.Kryptik.ASTP  20130423
DrWeb  Trojan.Winlock.5490  20130423
Emsisoft  Trojan.Generic.KDZ.552 (B)  20130423
eSafe   20130418
ESET-NOD32  a variant of Win32/Kryptik.ASTP  20130422
F-Prot  W32/Zbot.IR.gen!Eldorado  20130423
F-Secure  Trojan.Generic.KDZ.552  20130423
Fortinet  W32/Zbot.ANQ!tr  20130423
GData  Trojan.Generic.KDZ.552  20130423
Ikarus  Trojan-Ransom.Win32.PornoAsset  20130423
Jiangmin  Trojan/PornoAsset.sfj  20130423
K7AntiVirus  Riskware  20130422
K7GW  EmailWorm  20130422
Kaspersky  Trojan-Ransom.Win32.PornoAsset.bkfv  20130423
Kingsoft  Win32.Troj.Undef.(kcloud)  20130422
Malwarebytes  Trojan.Ransom  20130423
McAfee  PWS-Zbot.gen.ary  20130423
McAfee-GW-Edition  PWS-Zbot.gen.ary  20130423
Microsoft  TrojanDownloader:Win32/Cbeplay.P  20130423
MicroWorld-eScan  Trojan.Generic.KDZ.552  20130423
NANO-Antivirus  Trojan.Win32.PornoAsset.bivicz  20130423
Norman  Injector.DDPE  20130422
nProtect  Trojan.Generic.KDZ.552  20130423
Panda  Trj/Genetic.gen  20130423
PCTools  Trojan.Gen  20130423
Sophos  Mal/ZboCheMan-D  20130423
SUPERAntiSpyware  Trojan.Agent/Gen-Ransom  20130423
Symantec  Trojan.Gen  20130423
TheHacker  Trojan/Kryptik.aqed  20130422
TotalDefense   20130422
TrendMicro  TROJ_SPNR.35AA13  20130423
TrendMicro-HouseCall  TROJ_SPNR.35AA13  20130423
VBA32  BScope.Malware-Cryptor.Zbot.1202  20130422
VIPRE  Trojan.Win32.Zbot.anr (v)  20130423
ViRobot   20130423
Dicha version del ELISTARA 27.53 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 23-4-2013

IMAGEN DE LA PANTALLA DE BLOQUEO DE ESTA VERSION:

NOTA: Como sea que esta version elimina el SAFE BOOT y no puede arrancarse en MODO SEGURO, para evitar lanzar el malware, conviene arrancar con el CD de instalacion y acceder a la consola de recuperacion, desde donde ir a la carpeta de sistema (C:\windows\system32\) y renombrar dicho fichero WGSDGSDGDSGSD.EXE añadiendo .VIR a su extension, tras lo cual ya se podrá arrancar normalmente y lanzar el ELISTARA, el cual restablecerá el SAFE BOOT y eliminará el virus, y si es de una variante desconocida, pedirá muestra para su analisis y control.

Si no se dispone del CD de instalacion, puede arrancarse con un LIVE CD o con un BARTPE o pilitos y hacer la misma operacion.  ms.