Nueva variante de WORM HIDER (afecta a pendrives pero no crea autorun.inf)
Una nueva variante de este malware, que oculta carpetas de los pendrives, poniendoles atributo H y copia ficheros infectados con el nombre de las carpetas y su icono, para que el usuario pulse sobre ellas pensando entrar en las carpetas, y lo que hace es ejecutar el malware, y luego entra en la carpeta, pero con el virus en memoria (Como el AUTORUN VBML, pero sin crear AUTORUN.INF)
Lo pasamos a controlar a partir del ELISTARA 26.94 de hoy, rstaurando los atributos si se detecta infeccion. Si ya se ha eliminado el virus antes, sin restaurar carpetas, pueden recuperarse, desde una ventana al DOS, con ATTRIB x:\*.* -H -R /S /d , siendo X: la unidad de pendrive afectada.
El preanalsiis de virustotal ofrece el siguiemte informe:
SHA256: 309106ea2c017d6f28549f24ea8b3426113af25c93d05ef0db23a0897c05510c
SHA1: 730e73d59038b409479d05cbe877635c182aaf0e
MD5: bb3451c673c8908b7cbe5d96f70be9e7
Tamaño: 593.1 KB ( 607371 bytes )
Nombre: .Trashes.exe
Tipo: Win32 EXE
Detecciones: 33 / 45
Fecha de análisis: 2013-01-24 09:02:07 UTC ( hace 1 minuto )
Antivirus Resultado Actualización
Agnitum Trojan.Hider!Q9px0vhjP2c 20130123
AhnLab-V3 Trojan/Win32.Hider 20130124
AntiVir TR/Zusy.44587956 20130124
Antiy-AVL Trojan/Win32.Hider.gen 20130123
Avast Win32:Malware-gen 20130124
AVG unknown virus Win32/DH{A2IPYA} 20130124
BitDefender Gen:Variant.Symmi.3851 20130124
CAT-QuickHeal – 20130124
ClamAV – 20130124
Commtouch – 20130124
Comodo Heur.Suspicious 20130124
DrWeb Trojan.Siggen4.44005 20130124
Emsisoft Trojan.Win32.Hider (A) 20130124
eSafe – 20130120
ESET-NOD32 Win32/Agent.NKD 20130123
F-Prot – 20130124
F-Secure Gen:Variant.Symmi.3851 20130124
Fortinet W32/Hider.JH!tr 20130124
GData Gen:Variant.Symmi.3851 20130124
Ikarus – 20130124
Jiangmin Trojan/Generic.ztzj 20121221
K7AntiVirus – 20130123
Kaspersky Trojan.Win32.Hider.jh 20130124
Kingsoft Win32.Troj.Hider.(kcloud) 20130121
Malwarebytes Worm.Autorun 20130124
McAfee Artemis!BB3451C673C8 20130124
McAfee-GW-Edition Artemis!BB3451C673C8 20130124
Microsoft Worm:Win32/Autorun.AFF 20130124
MicroWorld-eScan Gen:Variant.Symmi.3851 20130124
NANO-Antivirus Trojan.Win32.Siggen3.wpyrt 20130124
Norman Malware 20130123
nProtect Trojan/W32.Agent.607371 20130124
Panda Generic Worm 20130123
PCTools – 20130124
Rising – 20130124
Sophos Troj/Agent-YNJ 20130124
SUPERAntiSpyware – 20130124
Symantec – 20130124
TheHacker Trojan/Hider.jh 20130124
TotalDefense Win32/Autorun.CA 20130123
TrendMicro – 20130124
TrendMicro-HouseCall TROJ_GEN.F47V0123 20130124
VBA32 BScope.Trojan.FakeFolder.1112 20130123
VIPRE Trojan.Win32.Generic.pak!cobra 20130124
ViRobot Trojan.Win32.A.Hider.312832
Dicha version del ELISTARA 26.94 que lo detecta y elimina, estará disponible en nuestra web a partri de las 19 h CEST de hoy
saludos
ms, 24-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.