Nueva variante del virus de la policia que se carga en el USER.INI
El hacker del virus de la policia va progresando… tras multiples variantes que llegaron a impedir arrancar en MODO SEGURO y que codificaban los ficheros añadiendoles el prefijo LOCKED, ahora se carga siempre, a través del USER.INI, sea cual sea la manera de arranque y el usuario que se escoja, pues el USER.INI se lanza siempre, y en este caso lanzará el virus con la visualizacion de la dichosa pantalla, que esta vez cambia respecto las anteriores:
De momento no vemos otra manera que arrancar con otra unidad, con el disco duro como esclavo, o con otro medio, con un LIVE CD tipo Pilitos o BARTPE y asi poder lanzar el ELISTARA, que eliminará el virus si ya conoce la variante, y si no, es cuestion de ver la clave del USER.INI del disco infectado (con el SREGEDIT) y ver el fichero lanzado, el cual enviarnos para controlar.
La primera muestra que nos ha llegado de esta nueva variante pasa a ser controlada a partir del ELISTARA 25.55 de hoy
El preanalisis del virustotal ofrece el siguiente informe:
SHA256: 1236b2854b82cfd33121147c395584f65d4c9c662781833ee73de1f46d052a65
SHA1: 250de1b19f6e79d2ec2a10ceca4bf00856ad0d7b
MD5: 94e39a6854539f2bde046ae794142d53
Tamaño: 135.0 KB ( 138240 bytes )
Nombre: ~!#233.tmp
Tipo: Win32 EXE
Etiquetas: upx
Detecciones: 11 / 42
Fecha de análisis: 2012-05-24 10:09:49 UTC ( hace 35 minutos )
01Más detallesAntivirus Resultado Actualización
AhnLab-V3 – 20120524
AntiVir TR/Crypt.ULPM.Gen 20120524
Antiy-AVL – 20120524
Avast – 20120524
AVG Dropper.Generic6.ORR 20120524
BitDefender Gen:Variant.Graftor.26917 20120524
ByteHero – 20120522
CAT-QuickHeal – 20120524
ClamAV – 20120524
Commtouch – 20120524
Comodo – 20120524
DrWeb – 20120524
Emsisoft – 20120524
eSafe – 20120522
F-Prot – 20120524
F-Secure – 20120524
Fortinet – 20120524
GData Gen:Variant.Graftor.26917 20120524
Ikarus – 20120524
Jiangmin – 20120524
K7AntiVirus – 20120523
Kaspersky HEUR:Trojan.Win32.Generic 20120524
McAfee – 20120524
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.C 20120524
Microsoft VirTool:Win32/Injector.gen!E 20120524
NOD32 a variant of Win32/Injector.RLN 20120523
Norman – 20120523
nProtect – 20120524
Panda Suspicious file 20120524
PCTools – 20120522
Rising – 20120524
Sophos – 20120524
SUPERAntiSpyware – 20120524
Symantec Suspicious.MH690.A 20120524
TheHacker Posible_Worm32 20120523
TotalDefense – 20120523
TrendMicro – 20120524
TrendMicro-HouseCall – 20120523
VBA32 – 20120524
VIPRE – 20120524
ViRobot – 20120524
VirusBuster – 20120523
Dicha version del ELISTARA 25.55 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 24-5-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.