variante de Conficker que nos llega en muestra pedida por el ELISTARA 26.38, (antiguo…)

Ya controlado a partir de ELITRIIP 7.86, recibimos esta muestra pedida por el ELISTARA 26.38, CUANDO ACTUALMENTE ESTAMOS EN LA 27.03 !
Recordamos que el ELISTARA se renueva a diario y que conviene descargar el mas actual para asi controlar lo que ya se conozca hasta el último momento

De todas formas, el sistema heuristioco detecta y aparca sospechosos, como ha sido el caso, y pide envio de muestras para analizar y controlar especificamente
En este caso ha resultado ser un CONFICKER ya controlado desde el ELITRIIP 7.86, y que con nuestras utilidades USB445.EXE, y dicho ELITRIIP, aparte de las complementarias ELIPEN, COMPROBADOR y demás, se logra determinar los PC en los que ha entrado dicho virus y eliminarlo, siguiemdo para ello las instrucciones que pueden verse entrando SOLUCION CONFICKER en el buscador de estas noticias (arriba a la derecha)
Solo a titulo de recordatorio, digamos que este virus fue creado inicialmente en 2008, pero que vamos recibiendo avisos de afectados, generalmente debido a no tener aplicado el parche MS08-067 o no tener actualizado el AV, aparte de no protegerse contra los virus de pendrive con el ELIPEN, o haber conectado a la Red de ordenadores un portatil infectado, y asi propagar el virus a todos los ordenadores en red, a pesar del parche y otras precauciones, ya que este virus se propaga tambien a traves de recursos compartidos.

Ofrecemos el preanalisis de virustotal en el que se ve que ya casi todos los AV lo conocen:

SHA256: 7714bbfd87c0e9ee221f8f7308c3c16fc35e9dc449267f62733496b3ac885ae6
SHA1: 7f91223d5e0d6c18ea0214b9dc731ce0739087f2
MD5: bdc18dfcfa63861aaa9d9fb95919d32a
Tamaño: 161.9 KB ( 165749 bytes )
Nombre: JWGKVSQ.VMX.Muestra EliStartPage v26.38
Tipo: Win32 DLL
Detecciones: 45 / 46
Fecha de análisis: 2013-02-06 12:30:30 UTC ( hace 0 minutos )
Antivirus Resultado Actualización
Agnitum Worm.Kido!TP6rttQ7VbU 20130205
AhnLab-V3 Worm/Win32.Conficker 20130206
AntiVir Worm/Conficker.Z.53 20130206
Antiy-AVL Worm/Win32.Kido.gen 20130206
Avast Win32:Agent-AHMF [Trj] 20130206
AVG Worm/Downadup 20130206
BitDefender Worm.Generic.90269 20130206
ByteHero – 20130204
CAT-QuickHeal Win32.Worm.Conficker.B.3 20130206
ClamAV Trojan.Dropper-18535 20130206
Commtouch W32/Conficker!Generic 20130206
Comodo NetWorm.Win32.Kido.A 20130206
DrWeb Win32.HLLW.Shadow.based 20130206
Emsisoft Worm.Generic.90269 (B) 20130206
eSafe Win32.Banker 20130204
ESET-NOD32 Win32/Conficker.AE 20130206
F-Prot W32/Conficker!Generic 20130201
F-Secure Worm:W32/Downadup.BZ 20130206
Fortinet W32/Kido.IH!tr 20130206
GData Worm.Generic.90269 20130206
Ikarus Worm.Win32.Conficker 20130206
Jiangmin Worm/Kido.bp 20121221
K7AntiVirus NetWorm 20130205
Kaspersky Net-Worm.Win32.Kido.ih 20130206
Kingsoft Worm.Kido.ih.(kcloud) 20130204
Malwarebytes Trojan.Agent 20130206
McAfee Artemis!BDC18DFCFA63 20130206
McAfee-GW-Edition Artemis!BDC18DFCFA63 20130206
Microsoft Worm:Win32/Conficker.B 20130206
MicroWorld-eScan Worm.Generic.90269 20130206
NANO-Antivirus Trojan.Win32.Kido.imyjl 20130206
Norman Conficker.HQ 20130206
nProtect Worm/W32.Kido.165749 20130206
Panda W32/Conficker.B.worm 20130206
PCTools Net-Worm.Conficker!rem 20130206
Rising Trojan.Win32.Generic.11E37BDC 20130205
Sophos Mal/Conficker-A 20130206
SUPERAntiSpyware Trojan.Conficker/Variant 20130206
Symantec W32.Downadup.B 20130206
TheHacker Trojan/Conficker.ae 20130205
TotalDefense Win32/Tnega.ALLI 20130206
TrendMicro WORM_DOWNAD.AD 20130206
TrendMicro-HouseCall WORM_DOWNAD.AD 20130206
VBA32 Worm.Win32.kido.105 20130205
VIPRE Trojan.Win32.Generic!BT 20130206
ViRobot Worm.Win32.Conficker.165749 20130206

Pero la intrusion puyede llegar igualmente via IP, por falta del indicado parche, por pendrive o por recursos compartidos, como ya hemos indicado.

saludos

ms, 6-2-2013