Variante de SWISYN que crea troyanos en el HDD e infecta ficheros de unidades removibles

Otra variante de esta familia que no solo queda residente en el ordenador sino que infecta los ejecutables que encuentra en unidades extraibles (disquetes y pendrives).  Estos ficheros infectados, son los que propagarán el virus a otros ordenadores donde sean ejecutados desde dicho pendrive,

A los ficheros troyanos que crea en el disco duro,

%WinSys%\ EXPLORER.EXE (+s+h+r)
%WinSys%\ STSYS.EXE    (+s+h+r)
%WinDir%\ SVCHOST.EXE  (+s+h+r)
%WinDir%\ SPOOLSV.EXE  (+s+h+r)
%Datos de programa% (Config local)\ MRSYS.EXE (+s+h+r)
les asigna un icono de uno de los ficheros existentes, con lo cual si aparecen varios ficheros en el disco duro con el mismo icono… mala señal ! (aunque si no se ven los ficheros ocultos y/o de sistema, tampoco se verán
Si bien el ELISTARA elimina dichos troyanos del disco duro, al tratarse de infeccion  (codigo añadido) en las unidades removibles, se deben limpiar dichos ficheros con el Antivirus, especialmente cuando ya son muchos los que lo controlan (34 de 42)
File name: EXPLORER.EXE.Muestra EliStartPage v22.73
Submission date: 2011-03-11 08:15:30 (UTC)
Current status: finished
Result: 34 /42 (81.0%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AntiVir 7.11.4.165 2011.03.11 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.03.09 –
Avast 4.8.1351.0 2011.03.10 Win32:VB-OJQ
Avast5 5.0.677.0 2011.03.10 Win32:VB-OJQ
AVG 10.0.0.1190 2011.03.11 VB.APCQ
BitDefender 7.2 2011.03.11 Trojan.Generic.5487540
CAT-QuickHeal 11.00 2011.03.11 Trojan.Mofksys.A
ClamAV 0.96.4.0 2011.03.11 Trojan.Agent-207414
Commtouch 5.2.11.5 2011.03.11 W32/VB.AD.gen!Eldorado
Comodo 7941 2011.03.11 TrojWare.Win32.Trojan.Swisyn.~auz
DrWeb 5.0.2.03300 2011.03.11 Trojan.MulDrop1.63756
Emsisoft 5.1.0.2 2011.03.11 Trojan.Win32.VB!IK
eSafe 7.0.17.0 2011.03.10 –
eTrust-Vet 36.1.8210 2011.03.11 Win32/Swisyn.DX
F-Prot 4.6.2.117 2011.03.10 W32/VB.AD.gen!Eldorado
F-Secure 9.0.16440.0 2011.03.11 Trojan.Generic.5487540
Fortinet 4.2.254.0 2011.03.11 –
GData 21 2011.03.11 Trojan.Generic.5487540
Ikarus T3.1.1.97.0 2011.03.11 Trojan.Win32.VB
Jiangmin 13.0.900 2011.03.11 Trojan/Swisyn.pkj
K7AntiVirus 9.93.4081 2011.03.11 Riskware
Kaspersky 7.0.0.125 2011.03.11 Trojan.Win32.Swisyn.auzw
McAfee 5.400.0.1158 2011.03.11 W32/Swisyn.ag
McAfee-GW-Edition 2010.1C 2011.03.11 W32/Swisyn.ag
Microsoft 1.6603 2011.03.11 Trojan:Win32/VB.AEI
NOD32 5943 2011.03.10 a variant of Win32/VB.OSK
Norman 6.07.03 2011.03.10 –
nProtect 2011-02-10.01 2011.02.15 Gen:Variant.Kazy.11158
Panda 10.0.3.5 2011.03.11 Generic Trojan
PCTools 7.0.3.5 2011.03.11 Malware.Gosys
Prevx 3.0 2011.03.11 High Risk Cloaked Malware
Rising 23.48.04.03 2011.03.11 –
Sophos 4.63.0 2011.03.11 W32/Mofksys-B
SUPERAntiSpyware 4.40.0.1006 2011.03.11 Trojan.Agent/Gen-VBFake
Symantec 20101.3.0.103 2011.03.11 W32.Gosys
TheHacker 6.7.0.1.147 2011.03.11 Trojan/VB.osk
TrendMicro 9.200.0.1012 2011.03.11 PE_MOFKSYS.B-O
TrendMicro-HouseCall 9.200.0.1012 2011.03.11 PE_MOFKSYS.B-O
VBA32 3.12.14.3 2011.03.10 MAS.Trojan.VB.01049
VIPRE 8664 2011.03.11 –
ViRobot 2011.3.11.4352 2011.03.11 –
VirusBuster 13.6.245.0 2011.03.10 –
Additional informationShow all
MD5   : e77e3b939aef507336b6cf789d5a9338
SHA1  : 1e9eaeb4d0741f87ba5f1aeef25542bd6506ccf7

File size : 211804 bytes
Como hemos dicho, además del antivirus, el HDD puede ser limpiado con el ELISTARA, y para los ficheros de las unidades removibles, una vez hayan sido todos ejecutados, se dispondrá de los ficheros originales (ocultos con atributos de H y S), pero con un codigo nulo (ALT255) tras la extension, con lo que, sobreescribiendo los EXE infectados por los que resulten de quitar dicho codigo nulo, se tendrán de nuevo los EXE originales, lo cual puede ser de utilidad en algun caso.

Se ha comprobado que el VirusScan actual limpia correctamente dichos ficheros infectados.

saludos

ms, 11-3-2011