MAS VARIANTES DE KOVTER CUYO FICHERO MALWARE DESAPARECE PERO PERSISTE LA INFECCION EN EL REGISTRO – (con comentarios para su eliminacion manual)

Siguen proliferando nuevas variantes de este engendro de dificil eliminacion del registro, que persiste aun tras desaparecer los ficheros malware

A partir del ELISTARA 32.91 detectamos estas nuevas variantes si bien aun detectando tanto con el SPROCES como con dicho ELISTARA los valores maliciosos en el registro, no se pueden eliminar, ni con el REGEDIT.EXE tampoco.

Puede eliminarse manualmente tras detener los procesos activos “REGSVR32.EXE”, desde linea de comandos con el TSKILL.EXE y tras eliminar las claves que lanzan en Script, reiniciar el sistema, ignorando los mensajes de Error por falta de los scripts y volver a lanzar el ELISTARA, con lo cual puede lograr desinstalarlo

El preanalisis de virustotal ofrece el siguiente informe:

MD5 94a9e40048263c7ee83c7ed0373f1857
SHA1 1181a0a831b402dff1da373bbce71cfe8b746f17
File size 389.0 KB ( 398372 bytes )
SHA256: 92ba22a09524115ac124c28e3a1d99065e5bd5051c1c78617ae74e31e4b6853a
File name: cf624118c31d6c.exe
Detection ratio: 9 / 57
Analysis date: 2015-09-09 09:15:40 UTC ( 4 minutes ago )

0 1
Antivirus Result Update
ALYac Gen:Variant.Symmi.54551 20150909
Ad-Aware Gen:Variant.Symmi.54551 20150909
Arcabit Trojan.Symmi.DD517 20150909
BitDefender Gen:Variant.Symmi.54551 20150909
ESET-NOD32 Win32/Kovter.D 20150909
Emsisoft Gen:Variant.Symmi.54551 (B) 20150909
F-Secure Gen:Variant.Symmi.54551 20150909
GData Gen:Variant.Symmi.54551 20150909
MicroWorld-eScan Gen:Variant.Symmi.54551 20150909

Dicha version del ELISTARA 32.91 que lo detecta y si procede, (segun arriba indicado) lo elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 9-9-2015