Nueva variante de virus VIRUT polimorfico y poco detectada por los antivirus:
Como sea que hemos recibido de nuestros clientes nueva variante de VIRUT que apenas controlan los antivirus:
Scanned time : 2010/06/16 10:36:43 (CEST)
Scanner results: 28% Escaner (10/36) encontró infección
File Name : calc.exe.vir
File Size : 142848 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 3a9fade233c94dcacb17a0108a2df85e
SHA1 : cbc392877a02f2a4113025738655501455f4cd2c
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.0.0.11 20100616030553 2010-06-16 40.09 –
AhnLab V3 2010.06.15.01 2010.06.15 2010-06-15 40.09 –
AntiVir 8.2.2.6 7.10.8.94 2010-06-15 0.41 –
Antiy 2.0.18 20100616.4764135 2010-06-16 0.02 –
Arcavir 2009 201006151423 2010-06-15 0.14 Heur.W32
Authentium 5.1.1 201006152218 2010-06-15 2.10 W32/Virut.AL!Generic (Possible)
AVAST! 4.7.4 100615-2 2010-06-15 0.02 –
AVG 8.5.793 271.1.1/2940 2010-06-16 2.33 Win32/Virut
BitDefender 7.90123.6194224 7.32243 2010-06-16 4.27 –
ClamAV 0.96.1 11192 2010-06-16 0.03 –
Comodo 3.13.579 5116 2010-06-16 40.09 –
CP Secure 1.3.0.5 2010.06.15 2010-06-15 0.07 –
Dr.Web 5.0.2.3300 2010.06.16 2010-06-16 8.20 Win32.Virut.56
F-Prot 4.4.4.56 20100615 2010-06-15 1.36 W32/Virut.AL!Generic
F-Secure 7.02.73807 2010.06.16.02 2010-06-16 0.15 –
Fortinet 4.1.133 12.57 2010-06-15 40.09 –
GData 21.361/21.123 20100616 2010-06-16 40.09 –
ViRobot 20100615 2010.06.15 2010-06-15 40.09 –
Ikarus T3.1.01.84 2010.06.16.76075 2010-06-16 6.71 Virus.Win32.Heur
JiangMin 13.0.900 2010.06.15 2010-06-15 40.09 –
Kaspersky 5.5.10 2010.06.16 2010-06-16 0.10 –
KingSoft 2009.2.5.15 2010.6.15.18 2010-06-15 40.09 –
McAfee 5400.1158 6014 2010-06-15 16.51 New Win32.s
Microsoft 1.5802 2010.06.16 2010-06-16 40.09 –
Norman 6.04.12 6.04.00 2010-06-15 6.01 W32/Virut.GE
Panda 9.05.01 2010.06.15 2010-06-15 40.09 –
Trend Micro 9.120-1004 7.246.02 2010-06-15 0.11 –
Quick Heal 10.00 2010.06.16 2010-06-16 40.09 –
Rising 20.0 22.51.06.01 2010-06-13 40.09 –
Sophos 3.07.1 4.54 2010-06-16 3.44 W32/Scribble-B
Sunbelt 3.9.2424.2 6452 2010-06-15 40.09 –
Symantec 1.3.0.24 20100615.005 2010-06-15 0.06 –
nProtect 20100615.02 8649979 2010-06-15 40.09 –
The Hacker 6.5.2.0 v00299 2010-06-15 40.09 –
VBA32 3.12.12.5 20100615.0856 2010-06-15 3.05 –
VirusBuster 4.5.11.10 10.126.84/2052024 2010-06-15 2.96 Win32.Virut.AB.Gen
Informamos que si al utilizar alguna de nuestras utilidades (como el ELISTARA) detecta haber sido modificada por un virus, gracias al checksum de integridad que disponen todas ellas, al andar suelto este especimen y haber afectado ya a dos de nuestros clientes, conviene enviarnos la utilidad modificada, o subirla al VirusTotal para saber si se trata del indicado virus VIRUT, y tras recibir la muestra, obraremos en consecuencia.
Periodicamente tenemos incidencias con nuevas variantes de esta maldita familia, y muchas veces sin que el usuario lo haya detectado, solo gracias al indicado aviso de nuestras utilidades, del cual están dotadas por el peligroso entorno en el que se mueven, aunque actualmente sean pocos los virus infectores como este, al reves que troyanos, gusanos y demás, de los cuales abundan por doquier.
Cabe comentar que, si bien este fichero examinado, McAfee lo detecta, no es asi con otros infectados del mismo usuario, por lo cual ya hemos enviado muestras a McAfee para que tomen medidas, y es que dado que es polimorfico, no infecta de la misma forma todos los ficheros, pudiendo unos ser detectados y otros no, si bien el cheksum de nuestras utilidades los detecta todos al ser modificadas como quiera que sea.
Esperamos que no sufran sus consecuencias, pero por si es el caso…
saludos
ms, 16-6-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.