NUEVA FAMILIA DE MALWARES DIFERENTE A LO CONOCIDO : W32/GRENAM
Una nueva familia de malwares, que modifica al fichero original añadiendo una V al principio del nombre del fichero, y lo oculta, dejando el infectado para que se ejecute y lance el virus, además de crear un AUTORUN.INF en el ROOT de las unidades C: y D:. que se ejecutará al acceder al Root de dichas unidades infectadas, pasa a ser controlado a partir del ELISTARA 36.62 de hoy
Si se detecta por cadenas, se eliminará dicho fichero y se buscará el del mismo nombre con la V delante, y se le quitará dicha V, además de restaurar atributos para devolverle la normalidad, para que sea visible.
– Queda residente
– En un Virus de Compañia. Renombra EXEs colocandoles una ‘v’ delante
del nombre, con atributos (+s+h) y autocopiandose con el nombre de
ellos manteniendo el icono original. Ejem:
CALC.EXE (bicho) –> VCALC.EXE (+s+h) (fichero original)
Además, crea AUTORUN.INF en el Root de las unidades de disco duro C: y D: (no en pendrives)
contenido del Autorun.inf
[autorun]
OPEN=Paint
icon=%SystemRoot%\system32\SHELL32.dll,4
open=Open
shell\open\command=Paint
Además se eliminará el AUTORUN.INF malicioso de todas las unidades donde se detectara.
El preanalisis de virustotal ofrece el siguiente informe:
MD5 bc0014cd2a6952d7173a3c536608a8cc
SHA1 de66fc0c1c00a062275c1871916e8f540020b2fe
Tamaño del fichero 824.5 KB ( 844288 bytes )
SHA256: da8290c5bf31a24a07fdf1739f5a5c06a3938d03af3905cefe49d9915d17c94f
Nombre: Paint.exe
Detecciones: 48 / 60
Fecha de análisis: 2017-04-10 13:50:08 UTC ( hace 6 minutos )
DIcha versión del ELISTARA 36.62 que lo detecta y elimina, estará disponible en nuestra web a partir del 11-4 prox
saludos
ms, 10-4-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.