NUEVA FAMILIA DE MALWARES DIFERENTE A LO CONOCIDO : W32/GRENAM

Una nueva familia de malwares, que modifica al fichero original añadiendo una V al principio del nombre del fichero, y lo oculta, dejando el infectado para que se ejecute y lance el virus, además de crear un AUTORUN.INF en el ROOT de las unidades C: y D:. que se ejecutará al acceder al Root de dichas unidades infectadas, pasa a ser controlado a partir del ELISTARA 36.62 de hoy

Si se detecta por cadenas, se eliminará dicho fichero y se buscará el del mismo nombre con la V delante, y se le quitará dicha V, además de restaurar atributos para devolverle la normalidad, para que sea visible.

– Queda residente
– En un Virus de Compañia. Renombra EXEs colocandoles una ‘v’ delante
del nombre, con atributos (+s+h) y autocopiandose con el nombre de
ellos manteniendo el icono original. Ejem:

CALC.EXE (bicho) –> VCALC.EXE (+s+h) (fichero original)
Además, crea AUTORUN.INF en el Root de las unidades de disco duro C: y D: (no en pendrives)

contenido del Autorun.inf

[autorun]
OPEN=Paint
icon=%SystemRoot%\system32\SHELL32.dll,4
open=Open
shell\open\command=Paint
Además se eliminará el AUTORUN.INF malicioso de todas las unidades donde se detectara.

El preanalisis de virustotal ofrece el siguiente informe:
MD5 bc0014cd2a6952d7173a3c536608a8cc
SHA1 de66fc0c1c00a062275c1871916e8f540020b2fe
Tamaño del fichero 824.5 KB ( 844288 bytes )
SHA256: da8290c5bf31a24a07fdf1739f5a5c06a3938d03af3905cefe49d9915d17c94f
Nombre: Paint.exe
Detecciones: 48 / 60
Fecha de análisis: 2017-04-10 13:50:08 UTC ( hace 6 minutos )

total:

DIcha versión del ELISTARA 36.62 que lo detecta y elimina, estará disponible en nuestra web a partir del 11-4 prox

saludos

ms, 10-4-2017