NUEVA VARIANTE DE TROJAN NEUREVT cazada por la heuristica del ELISTARA

Publicado el 4 febrero 2014 ¬ 18:44 pmh.mscComentarios desactivados en NUEVA VARIANTE DE TROJAN NEUREVT cazada por la heuristica del ELISTARA

Otra muestra pedida por el ELISTARA pasa a ser controlada a partir del ELISTARA 29.29 de hoy
Como ya hemos dicho en anteriores analisis de variantes de este malware, es un ROOTKIT que dificulta mucho su deteccion y eliminacion al tener como caracteristicas principales:

– Queda residente. (proceso activo “EXPLORER.EXE”)
– Oculta ficheros del sistema.
– Intercepta la aplicacion “rstrui.exe”. (No se puede restaurar a un punto anterior)
– El EXE de nombre variable en cada infección
– Mientras este activo, no permite el acceso ni a la carpeta en la que
esta ubicado ni a las entradas del registro.
– Mientras este activo, el O4 visualiza: “jhgvy76765guhb”=”\Windows\Explorer.exe”

Pero ademas en este caso no se puede detectar heuristicamente al ser variable su ubicación, su nombre, el valor de la clave, etc, por lo que solo si se le conoce como es el caso, se podrá detectar y eliminar con el ELISTARA, simepre y ciuando se haya arrancado EN MODO SEGURO, pues sino no habría acceso a dicho fichero ni a la carpeta donde está ubicado, ni a las claves de registro que lo lanzan.

 

El preanalisis de virustotal ofrece este informe:
MD5 de9a840abecf37da320ba6164a97e020
SHA1 6aa7cb1d071f346fbe67da39d53a78c49b50fc78
File size 196.7 KB ( 201380 bytes )
SHA256: d9120d6e6167fc90b5a446a3e10f63ffedd2b872c58ffcc983d9f81b95dccf8f
Nombre: HEMXCCAPE.EXE.Muestra EliStartPage v29.28
Detecciones: 21 / 50
Fecha de análisis: 2014-02-04 16:32:08 UTC ( hace 1 hora, 6 minutos )

0 1
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Symmi.38338  20140204
AegisLab  Troj.W32.Pakes  20140204
AhnLab-V3  Backdoor/Win32.Caphaw  20140204
AntiVir  TR/Neurevt.A.621  20140204
Avast  Win32:Malware-gen  20140204
BitDefender  Gen:Variant.Symmi.38338  20140204
Bkav  HW32.CDB.D8d9  20140125
ByteHero  Virus.Win32.Heur.p  20140204
DrWeb  Trojan.PWS.Stealer.2977  20140204
ESET-NOD32  a variant of Win32/Injector.AWXJ  20140204
Emsisoft  Gen:Variant.Symmi.38338 (B)  20140204
F-Secure  Gen:Variant.Symmi.38338  20140204
GData  Gen:Variant.Symmi.38338  20140204
Kaspersky  Trojan-PSW.Win32.Tepfer.tczp  20140204
Kingsoft  Win32.PSWTroj.Tepfer.tc.(kcloud)  20140204
Malwarebytes  Trojan.LVBP  20140204
McAfee  Artemis!DE9A840ABECF  20140204
McAfee-GW-Edition  Artemis!DE9A840ABECF  20140204
MicroWorld-eScan  Gen:Variant.Symmi.38338  20140204
Sophos  Mal/Generic-S  20140204
VIPRE  Trojan.Win32.Generic!BT  20140204
Dicha version del ELISTARA 29.29 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 4-2-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies