UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUX

Nos hemos encontrado con una especie de Rootkit, descargado por FAKE WRITE, que al ejecutarse

– Queda residente. (utilizando como proceso activo el”WUAUCLT.EXE”)
– Oculta ficheros del sistema.
– Intercepta algunas aplicaciones como “hijackthis.exe”, “rstrui.exe”, “spybotsd.exe”, etc
– El Nombre de la Carpeta especial donde se esconde, asi como el Fichero y el Valor del Registro  varian según sistema.
Mientras esté activo, dicha carpeta especial, tiene propiedades de la carpeta de “Impresoras”, con contenido no visible.

Mientras está en uso, no se puede eliminar ni la Carpeta ni las claves del registro de lanzamiento.
Por ello es muy importante para su detección y eliminación, arrancar en MODO SEGURO, y en dicho modo, lanzar el ELISTARA.
El preanalisis de virustotal, nos muestra este informe:

SHA256: 56922e73930b1c2a79dc422bf3b7d23cf8e5683c7022b5723d2dd7f56cb7811a
SHA1: 42bb4719528d9138e84d1fe560770e33f335419e
MD5: c1c917feab6c7a4340c692ffc1793fae
Tamaño: 280.0 KB ( 286720 bytes )
Nombre: xkrtxopie.exe
Tipo: DOS EXE
Detecciones: 28 / 46
Fecha de análisis: 2013-05-06 13:27:42 UTC ( hace 0 minutos )

0 2 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus  Resultado  Actualización
Agnitum  Trojan.DR.Agent!i/UYT9sT4+E  20130505
AhnLab-V3  Dropper/Win32.Agent  20130506
AntiVir  TR/Drop.Agent.hkch  20130506
Antiy-AVL   20130506
Avast   20130506
AVG  SHeur4.BHGJ  20130506
BitDefender  Trojan.Generic.9018710  20130506
ByteHero   20130425
CAT-QuickHeal   20130506
ClamAV   20130506
Commtouch  W32/Trojan.NYWF-7106  20130506
Comodo  TrojWare.Win32.Trojan.Agent.Gen  20130506
DrWeb  Trojan.PWS.Siggen1.1437  20130506
Emsisoft  Trojan.Win32.Agent.AMN (A)  20130506
eSafe   20130501
ESET-NOD32  a variant of Win32/Kryptik.AZUM  20130506
F-Prot   20130506
F-Secure  Trojan.Generic.9018710  20130506
Fortinet  W32/Agent.HKCH!tr  20130506
GData  Trojan.Generic.9018710  20130506
Ikarus  Trojan-Dropper.Win32.Agent  20130506
Jiangmin   20130506
K7AntiVirus   20130503
K7GW   20130503
Kaspersky  Trojan-Dropper.Win32.Agent.hkch  20130506
Kingsoft   20130506
Malwarebytes  Trojan.Agent  20130506
McAfee  Artemis!C1C917FEAB6C  20130506
McAfee-GW-Edition  Artemis!C1C917FEAB6C  20130506
Microsoft   20130506
MicroWorld-eScan  Trojan.Generic.9018710  20130506
NANO-Antivirus  Virus.Win32.Gen.ccmw  20130506
Norman  Troj_Generic.KUQBA  20130506
nProtect  Trojan.Generic.9018710  20130506
Panda  Trj/OCJ.E  20130506
PCTools   20130506
Sophos   20130506
SUPERAntiSpyware   20130506
Symantec  WS.Reputation.1  20130506
TheHacker   20130505
TotalDefense   20130503
TrendMicro  TROJ_SPNR.14E413  20130506
TrendMicro-HouseCall  TROJ_SPNR.14E413  20130506
VBA32  Heur.Trojan.Hlux  20130506
VIPRE  Trojan.Win32.Generic!BT  20130506
ViRobot   20130506

A partir del ELISTARA 27.61 de hoy, se ha potenciado su detección por acción directa, detectando las claves de lanzamiento, siempre y cuando se esté operando en MODO SEGURO.
Dicha versión del ELISTARA 27.61 que lo detecta y elimina, estará disponible en neustra web a partir de las 19 h CEST de hoy

saludos

ms, 6-5-2013
NOTA:

añade clave detras del nombre de la carpeta de marras (oculta con atributos +s +h), lo que le da propiedades espèciales, por ejemplo “%Archivos de Programa%\Common
Files\894fy894yt98.{2227A280-3AEA-1069-A2DE-08002B30309D}\xkrtxopie.exe”

Con ello Mientras esté activo, se convierte en una carpeta con propiedades de la carpeta de “Impresoras” cuyo contenido no es visible.

REPETIMOS :  ES MUY IMPORTANTE ARRANCAR EN MODO SEGURO PARA PODER CONTROLARLO !!!