Nueva variante de FAKE ALERT que acaba de cazar la heuristica del ELISTARA

Si bien ya el ELISTARA actual ya lo aparca, y tras reiniciar normalmente ya no incordia, a partir del ELISTARA 23.24 se controlará especificamente

File name:
gqafknwegtf.exe.muestra elistartpage v23.22
Submission date:
2011-05-17 18:12:53 (UTC)
Current status:

Result:
25/ 42 (59.5%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3 2011.05.17.02 2011.05.17 –
AntiVir 7.11.8.50 2011.05.17 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2011.05.17 –
Avast 4.8.1351.0 2011.05.17 –
Avast5 5.0.677.0 2011.05.17 Win32:Downloader-HCS
AVG 10.0.0.1190 2011.05.17 –
BitDefender 7.2 2011.05.17 Trojan.Generic.KD.222729
CAT-QuickHeal 11.00 2011.05.17 (Suspicious) – DNAScan
ClamAV 0.97.0.0 2011.05.17 –
Commtouch 5.3.2.6 2011.05.17 –
Comodo 8735 2011.05.17 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.05.17 Trojan.Fakealert.21163
eSafe 7.0.17.0 2011.05.15 –
eTrust-Vet 36.1.8331 2011.05.17 –
F-Prot 4.6.2.117 2011.05.16 –
F-Secure 9.0.16440.0 2011.05.17 Trojan.Generic.KD.222729
Fortinet 4.2.257.0 2011.05.17 –
GData 22 2011.05.17 Trojan.Generic.KD.222729
Ikarus T3.1.1.104.0 2011.05.17 Gen.Variant.FakeAV
Jiangmin 13.0.900 2011.05.17 –
K7AntiVirus 9.103.4669 2011.05.17 Trojan
Kaspersky 9.0.0.837 2011.05.17 Trojan.Win32.FraudPack.ctiq
McAfee 5.400.0.1158 2011.05.17 Generic FakeAlert.am
McAfee-GW-Edition 2010.1D 2011.05.17 Generic FakeAlert.am
Microsoft 1.6802 2011.05.17 Trojan:Win32/FakeSysdef
NOD32 6130 2011.05.17 a variant of Win32/Kryptik.NTK
Norman 6.07.07 2011.05.17 –
nProtect 2011-05-17.01 2011.05.17 Trojan.Generic.KD.222729
Panda 10.0.3.5 2011.05.17 Trj/CI.A
PCTools 7.0.3.5 2011.05.17 RogueAntiSpyware.WinDefragFraud
Prevx 3.0 2011.05.17 Medium Risk Malware
Rising 23.58.01.05 2011.05.17 –
Sophos 4.65.0 2011.05.17 Troj/FakeAV-DLV
SUPERAntiSpyware 4.40.0.1006 2011.05.17 Trojan.Agent/Gen-FakeAlert[QNP]
Symantec 20101.3.2.89 2011.05.17 WinDefragFraud
TheHacker 6.7.0.1.199 2011.05.17 –
TrendMicro 9.200.0.1012 2011.05.17 TROJ_FAKEAV.SM29
TrendMicro-HouseCall 9.200.0.1012 2011.05.17 TROJ_FAKEAV.SM29
VBA32 3.12.16.0 2011.05.12 –
VIPRE 9307 2011.05.17 Trojan.Win32.Generic.pak!cobra
ViRobot 2011.5.17.4463 2011.05.17 –
VirusBuster 13.6.359.0 2011.05.17 –
Additional information
Show all
MD5   : f40638a33872d87d0db698920f2ffc6a
SHA1  : 2252bb43267ef46debf9b557fbc8c26939026364

File size : 433664 bytes

publisher….: QNP
copyright….: 37 CFR 1.53(c)
product……: CLAnalysis
description..: Cluster analysis
original name: QCLA.EXE
internal name: QCLA
file version.: 1.3.1.1

Dicho ELISTARA 23.24 estará disponible en nuestra web a partir de las 19 horas CEST de mañana, ya que la muestra ha llegado cuando SATINFO estaba cerrado.

saludos

ms, 17-5-2011

ANEXO:

Una vez monitorizado hemos visto que se trata de una nueva variante del ya conocido FAKE TOOL WINDOWS RECOVERY, y que al igual que las anteriores muestras recibidas, inicialmente no se ve nada en el escritorio (que restaura ya el ELISTARA actual) pero que tiene la malicia de borrar (no ocultar) lo existente en la carpeta ALL USERS de DATOS DE PROGRAMA, con lo cual se pierden ficheros y accesos que hubiere en dicha carpeta del ordenador afectado.

De todas formas, el resto de cambios es restaurado y eliminado este nuevo malware que pasamos a controlar a partri del ELISTARA 23.24 de hoy, con el nombre de FAKE TOOL WINDOWS RECOVERY

saludos

ms, 18-5-2011