NUEVA VARIANTE DE TROJAN NEUREVT cazada por la heuristica del ELISTARA
Otra muestra pedida por el ELISTARA pasa a ser controlada a partir del ELISTARA 29.29 de hoy
Como ya hemos dicho en anteriores analisis de variantes de este malware, es un ROOTKIT que dificulta mucho su deteccion y eliminacion al tener como caracteristicas principales:
– Queda residente. (proceso activo “EXPLORER.EXE”)
– Oculta ficheros del sistema.
– Intercepta la aplicacion “rstrui.exe”. (No se puede restaurar a un punto anterior)
– El EXE de nombre variable en cada infección
– Mientras este activo, no permite el acceso ni a la carpeta en la que
esta ubicado ni a las entradas del registro.
– Mientras este activo, el O4 visualiza: “jhgvy76765guhb”=”\Windows\Explorer.exe”
Pero ademas en este caso no se puede detectar heuristicamente al ser variable su ubicación, su nombre, el valor de la clave, etc, por lo que solo si se le conoce como es el caso, se podrá detectar y eliminar con el ELISTARA, simepre y ciuando se haya arrancado EN MODO SEGURO, pues sino no habría acceso a dicho fichero ni a la carpeta donde está ubicado, ni a las claves de registro que lo lanzan.
El preanalisis de virustotal ofrece este informe:
MD5 de9a840abecf37da320ba6164a97e020
SHA1 6aa7cb1d071f346fbe67da39d53a78c49b50fc78
File size 196.7 KB ( 201380 bytes )
SHA256: d9120d6e6167fc90b5a446a3e10f63ffedd2b872c58ffcc983d9f81b95dccf8f
Nombre: HEMXCCAPE.EXE.Muestra EliStartPage v29.28
Detecciones: 21 / 50
Fecha de análisis: 2014-02-04 16:32:08 UTC ( hace 1 hora, 6 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Symmi.38338 20140204
AegisLab Troj.W32.Pakes 20140204
AhnLab-V3 Backdoor/Win32.Caphaw 20140204
AntiVir TR/Neurevt.A.621 20140204
Avast Win32:Malware-gen 20140204
BitDefender Gen:Variant.Symmi.38338 20140204
Bkav HW32.CDB.D8d9 20140125
ByteHero Virus.Win32.Heur.p 20140204
DrWeb Trojan.PWS.Stealer.2977 20140204
ESET-NOD32 a variant of Win32/Injector.AWXJ 20140204
Emsisoft Gen:Variant.Symmi.38338 (B) 20140204
F-Secure Gen:Variant.Symmi.38338 20140204
GData Gen:Variant.Symmi.38338 20140204
Kaspersky Trojan-PSW.Win32.Tepfer.tczp 20140204
Kingsoft Win32.PSWTroj.Tepfer.tc.(kcloud) 20140204
Malwarebytes Trojan.LVBP 20140204
McAfee Artemis!DE9A840ABECF 20140204
McAfee-GW-Edition Artemis!DE9A840ABECF 20140204
MicroWorld-eScan Gen:Variant.Symmi.38338 20140204
Sophos Mal/Generic-S 20140204
VIPRE Trojan.Win32.Generic!BT 20140204
Dicha version del ELISTARA 29.29 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 4-2-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.