NUEVA VARIANTE DE GUSANO INFECTOR SWISYN QUE PASAMOS A CONTROLAR CON ELISTARA

Otro sofisticado virus, que además de gusano, es infector de EXE y se propaga tambien por pendrive, lo pasamos a controlar a partir del ELISTARA 40.11 de hoy

Esta nueva variante realiza los siguientes procesos:

– Queda residente (2 procesos activos)
– Oculta ficheros del sistema.
– Desactiva el Servicio del Cortafuegos de Windows.
– Infecta EXEs tambien de las Unidades de PenDrive y de Disquette.

Con cualquier EXE contenido en una unidad, se autocopia con su
mismo nombre añadiendole temporalmente una coma (“%nombre%.exe,”).

El EXE anfitrion lo añade al final de su código (MALWARE + EXE anfitrion)

Luego elimina el EXE anfitrion y se renombra (“%nombre%.exe”)
quedando con el mismo nombre e icono que el EXE anfitrion.

Al Ejecutar cualquiera de estos Ficheros infectados, primero se
ejecuta el MALWARE, luego se extrae y lanza el EXE anfitrion
(“%nombre%.exe ” +s+h -> el espacio en blanco despues del exe, es un Alt255).

Conviene arrancar en MODO SEGURO para lanzar el ELISTARA y que pueda corregir lo indicado.

total ofrece el siguiente informe>

Los ficheros EXE modificados serán renombrados a VXE , los cuales podrán ser restaurados por los originales o copia de seguridad, lo cual podrá verse en el informe del ELISTARA que genera en C:\infosat.txt

Como comentario cabe resaltar lo que ya indicamos de que cuando se ejecuta un fichero con el virus en memoria, crea una copia del fichero añadiendo un ALT255 al final de la extensión:

(“%nombre%.exe ” +s+h – el espacio final es un Alt255).

Algo parecido como lo que hacía el que ya comentamos recientemente que identificamos como W32.NESHTA, que ya controlamos con el actual ELISTARA.

saludos

ms, 17-4-2019