2 Nuevas variantes de Ransom.Pass cazadas por la heuristica del ELISTARA

Analizado con VirScan (dado que virustotal no está disponible actualmente para escanear nuevos ficheros), ofrece el siguiente informe

Scanned time   : 2013/01/16 10:26:30 (CET)
Scanner results: 14% Escaner (5/37) encontró infección
File Name      : JAVA (TM) UPDATER SERVICE.EXE.Muestra EliStartPage v26.87
File Size      : 317952 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono
MD5            : 0911d4df993c16c76c85ca77dac9bacb
SHA1           : cf340e922ad18f5e86c486e043a3a91279f9b2cd
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.4         20130116120154    2013-01-16  21.99  –
AhnLab V3      2013.01.16.00   2013.01.16        2013-01-16  3.93   –
AntiVir        8.2.10.202      7.11.50.58        2012-11-16  0.35   –
Antiy          2.0.18          2.0.18.           0002-18-00  1.23   –
Arcavir        2011            201212180022      2012-12-18  8.81   –
Authentium     5.1.1           201301152137      2013-01-15  2.52   –
AVAST!         4.7.4           130115-1          2013-01-15  0.30   Win32:AutoRun-CYI [Trj]
AVG            12.0.1794       2638/5536         2013-01-15  0.71   –
BitDefender    7.90123.8616768 7.44874           2013-01-16  6.03   Gen:Variant.Kazy.135220
ClamAV         0.97.5          16502             2013-01-16  0.75   –
Comodo         5.1             14927             2013-01-16  13.37  –
CP Secure      1.3.0.5         2013.01.16        2013-01-16  0.49   –
Dr.Web         7.0.4.9250      2013.01.16        2013-01-16  22.21  –
F-Prot         4.6.2.117       20130115          2013-01-15  1.14   –
F-Secure       7.02.73807      2013.01.16.02     2013-01-16  0.40   Gen:Variant.Kazy.135220 [Aquarius]
Fortinet       4.3.392         16.549            2013-01-16  0.26   –
GData          22.7441         20130116          2013-01-16  13.36  Gen:Variant.Kazy.135220 [Engine:A]
ViRobot        20130115        2013.01.15        2013-01-15  0.71   –
Ikarus         T3.1.32.20.0    2013.01.16.83222  2013-01-16  8.79   –
JiangMin       13.0.900        2012.12.21        2012-12-21  3.53   –
Kaspersky      5.5.10          2013.01.16        2013-01-16  0.32   Trojan-Ransom.Win32.Blocker.aiuk
KingSoft       2009.2.5.15     2013.1.16.9       2013-01-16  3.58   –
McAfee         5400.1158       6956              2013-01-15  12.88  –
Microsoft      1.9002          2013.01.15        2013-01-15  4.45   –
NOD32          3.0.21          7897              2013-01-15  0.27   –
Norman         6.8.3           201208311030      2012-08-31  0.00   –
Panda          9.05.01         2013.01.14        2013-01-14  4.33   –
Trend Micro    9.500-1005      9.660.01          2013-01-15  0.21   –
Quick Heal     11.00           2013.01.15        2013-01-15  2.90   –
Rising         20.0            24.45.02.01       2013-01-16  3.01   –
Sophos         3.35.1          4.81              2013-01-16  5.04   –
Sunbelt        3.9.2557.2      15042             2013-01-15  0.94   –
Symantec       1.3.0.24        20130115.002      2013-01-15  0.44   –
nProtect       20130115.01     13397740          2013-01-15  1.68   –
The Hacker     6.8.0.0         v00175            2013-01-14  0.90   –
VBA32          3.12.18.4       20130115.1313     2013-01-15  4.51   –
VirusBuster    5.5.2.13        15.0.318.0/107111192013-01-15  0.24   –

y este otro, ya escaneado, con el preamalisis de virustotal ofrece similar informe:

SHA256: 0eadd5d06d3392dce8e7120f6ce6bb2b15e8ebc277c1f0c29f9bb0b33292fd01
SHA1: 6cad31c0465994bf43712a4e65fd91f506ec67d8
MD5: bfeacda8ad907b4d464ffe4a9ba03fdc
Tamaño: 409.0 KB ( 418816 bytes )
Nombre: JAVA (TM) UPDATER SERVICE.EXE.Muestra EliStartPage v26.87
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 11 / 45
Fecha de análisis: 2013-01-14 21:23:09 UTC

Antivirus Resultado Actualización
Agnitum – 20130114
AhnLab-V3 Trojan/Win32.Blocker 20130114
AntiVir TR/Autorun.cyi.5 20130114
Antiy-AVL – 20130114
Avast Win32:AutoRun-CYI [Trj] 20130114
AVG Generic31.CHL 20130114
BitDefender Trojan.Generic.KD.829444 20130114
ByteHero – 20130114
CAT-QuickHeal – 20130114
ClamAV – 20130114
Commtouch – 20130114
Comodo – 20130114
DrWeb – 20130114
Emsisoft – 20130114
ESET-NOD32 – 20130114
F-Prot – 20130114
F-Secure – 20130114
Fortinet – 20130113
GData Trojan.Generic.KD.829444 20130114
Ikarus – 20130114
Jiangmin – 20121221
K7AntiVirus – 20130114
Kaspersky Trojan-Ransom.Win32.Blocker.aijm 20130114
Kingsoft – 20130107
Malwarebytes – 20130114
McAfee – 20130114
McAfee-GW-Edition – 20130114
Microsoft – 20130114
MicroWorld-eScan Trojan.Generic.KD.829444 20130114
NANO-Antivirus – 20130114
Norman – 20130114
nProtect – 20130114
Panda Trj/CI.A 20130114
PCTools – 20130114
Rising – 20130114
Sophos – 20130114
SUPERAntiSpyware – 20130114
Symantec – 20130114
TheHacker – 20130114
TotalDefense – 20130114
TrendMicro – 20130114
TrendMicro-HouseCall TROJ_GEN.R47H1AE 20130114
VBA32 – 20130114
VIPRE Trojan.Win32.Generic!BT 20130114
ViRobot – 20130114
Ambas muestras son similares, y pasan a ser controladas especificamente a partir del ELISTARA 26.87 de hoy

Dicha versiçon del ELISTARA 26.87 que las detecta y elimina, estarán disponibles en nuestra web a partir de las 19 h CEST de hoy
saludos

ms, 16-1-2013