malware en proceso de monitorización : Resulta ser un FAKE AV SECURITY SHIELD

Sin tiempo de monitorizarlo, ofrecemos informacion de nueva variante de malware, posiblemente >Fake Alert, que mañana pasaremos a controlar especificamente con el ELISTARA 24.01

File name: __onjawey.vir
Submission date: 2011-10-03 15:10:17 (UTC)
Result: 26/ 43 (60.5%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.10.03.00 2011.10.03 Trojan/Win32.Buterat
AntiVir 7.11.15.87 2011.10.03 TR/Agent.3210245
Antiy-AVL 2.0.3.7 2011.10.03 –
Avast 6.0.1289.0 2011.10.02 Win32:FakeAlert-BGK [Trj]
AVG 10.0.0.1190 2011.10.03 Generic_r.JD
BitDefender 7.2 2011.10.03 Trojan.Generic.6687604
ByteHero 1.0.0.1 2011.09.23 –
CAT-QuickHeal 11.00 2011.10.03 –
ClamAV 0.97.0.0 2011.10.03 Trojan.FakeAV-9677
Commtouch 5.3.2.6 2011.10.03 –
Comodo 10327 2011.10.03 –
DrWeb 5.0.2.03300 2011.10.03 Trojan.Fakealert.22515
Emsisoft 5.1.0.11 2011.10.03 Trojan.Win32.FakeAV!IK
eSafe 7.0.17.0 2011.10.02 –
eTrust-Vet 36.1.8594 2011.10.03 –
F-Prot 4.6.2.117 2011.10.03 –
F-Secure 9.0.16440.0 2011.10.03 Trojan.Generic.6687604
Fortinet 4.3.370.0 2011.10.01 –
GData 22 2011.10.03 Trojan.Generic.6687604
Ikarus T3.1.1.107.0 2011.10.03 Trojan.Win32.FakeAV
Jiangmin 13.0.900 2011.10.03 Trojan/JboxGeneric.bkm
K7AntiVirus 9.113.5227 2011.10.01 –
Kaspersky 9.0.0.837 2011.10.03 Trojan-FakeAV.Win32.Agent.bdf
McAfee 5.400.0.1158 2011.10.03 FakeAlert-SecurityTool.bt
McAfee-GW-Edition 2010.1D 2011.10.02 FakeAlert-SecurityTool.bt
Microsoft 1.7702 2011.10.03 Rogue:Win32/Winwebsec
NOD32 6512 2011.10.03 Win32/Adware.SecurityShield.C
Norman 6.07.11 2011.10.03 W32/Kryptik.AJN
nProtect 2011-10-03.01 2011.10.03 Gen:Variant.Backdoor.28
Panda 10.0.3.5 2011.10.02 Adware/ResDecA
PCTools 8.0.0.5 2011.10.03 RogueAntiSpyware.SecurityShieldFraud
Prevx 3.0 2011.10.03 –
Rising 23.77.04.01 2011.09.30 –
Sophos 4.69.0 2011.10.03 Mal/FakeAV-KL
SUPERAntiSpyware 4.40.0.1006 2011.10.01 –
Symantec 20111.2.0.82 2011.10.03 SecurityShieldFraud
TheHacker 6.7.0.1.315 2011.10.02 –
TrendMicro 9.500.0.1008 2011.10.03 –
TrendMicro-HouseCall 9.500.0.1008 2011.10.03 –
VBA32 3.12.16.4 2011.09.30 –
VIPRE 10651 2011.10.03 FraudTool.Win32.FakeAV.nr (v)
ViRobot 2011.10.1.4699 2011.10.03 Trojan.Win32.FakeAV.391680
VirusBuster 14.0.244.0 2011.10.02 Adware.SecurityShield!mLdyhksCj3E
Additional informationShow all
MD5   : 06caafe7f6c63085d513dc238fd7c7aa
SHA1  : 3c5059c77e60ab074858cf54de8ce7ecb2a20bb4

File size : 390656 bytes

De momento de puede controlar con nuestro ELIMD5 introduciendo su hash:  06caafe7f6c63085d513dc238fd7c7aa

saludos

ms, 3-9-2011

ANEXO:
Como ya hemos indicado en el título, al finalizar la monitorización hemos visto que se trata de una variante de FAKE AV SECURITY SHIELD, de los que todos los ejecutables los considera infectados (menos el EXPLORER.EXE) por lo que o se arranca en MODO SEGURO, o con otro usuario no infectado, o se renombra el ELISTARA.EXE por EXPLORER.EXE y asi poder ejecutarlo y eliminar el malware.  Como comentario, no se encuentra su lanzamiento en el registro porque lo crea cada vez que se cierra windows con un RUNONCE, que desaparece al reiniciar, una vez cargado dicho FAKE en memoria…   ms.