Nueva variante de AUTORUN.VBML muy novedosa: Se carga incluso en MODO SEGURO y detiene procesos como EXPLORER.EXE, y vuelta a empezar…

Publicado el 14 octubre 2010 ¬ 15:46 pmh.mscComentarios desactivados en Nueva variante de AUTORUN.VBML muy novedosa: Se carga incluso en MODO SEGURO y detiene procesos como EXPLORER.EXE, y vuelta a empezar…

Es la primera de las tantas muestras de esta famila de troyanos, que tiene estas singulares caracteristicas, lo cual le hace bastante molesto, al detener procesos como el EXPLORER.EXE, el CMD.EXE, impedir el acceso al Admisnistrador de tareas, etc.

Gracias a que el ELISTARA ha logrado mover a C:\muestras en WINLOGON.EXE en el que se oculta este malware, antes de que el mismo cerrara el EXPLORER, nos han podido enviar muestra para analizar, y

File name: WINLOGON.EXE.Muestra EliStartPage v21.78
Submission date: 2010-10-14 13:40:23 (UTC)
Current status: queued queued analysing finished
Result: 29/ 43 (67.4%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.14.01 2010.10.14 Worm/Win32.Rontokbro
AntiVir 7.10.12.213 2010.10.14 TR/Spy.53760.147
Antiy-AVL 2.0.3.7 2010.10.14 –
Authentium 5.2.0.5 2010.10.14 –
Avast 4.8.1351.0 2010.10.14 Win32:Malware-gen
Avast5 5.0.594.0 2010.10.14 Win32:Malware-gen
AVG 9.0.0.851 2010.10.14 Generic19.BDJY
BitDefender 7.2 2010.10.14 Gen:Trojan.Heur.ZGY.7
CAT-QuickHeal 11.00 2010.10.14 Worm.Esfury
ClamAV 0.96.2.0-git 2010.10.14 –
Comodo 6388 2010.10.14 Heur.Suspicious
DrWeb 5.0.2.03300 2010.10.14 Trojan.StartPage.31715
Emsisoft 5.0.0.50 2010.10.14 Gen.Trojan!IK
eSafe 7.0.17.0 2010.10.12 Win32.GenHeur.Zgy
eTrust-Vet 36.1.7911 2010.10.14 –
F-Prot 4.6.2.117 2010.10.13 –
F-Secure 9.0.16160.0 2010.10.14 Gen:Trojan.Heur.ZGY.7
Fortinet 4.2.249.0 2010.10.14 –
GData 21 2010.10.14 Gen:Trojan.Heur.ZGY.7
Ikarus T3.1.1.90.0 2010.10.14 Gen.Trojan
Jiangmin 13.0.900 2010.10.14 –
K7AntiVirus 9.65.2742 2010.10.13 Riskware
Kaspersky 7.0.0.125 2010.10.14 –
McAfee 5.400.0.1158 2010.10.14 Generic.dx!uhc
McAfee-GW-Edition 2010.1C 2010.10.14 Heuristic.BehavesLike.Win32.Downloader.A
Microsoft 1.6201 2010.10.14 Worm:Win32/Esfury
NOD32 5531 2010.10.14 Win32/AutoRun.VB.UG
Norman 6.06.07 2010.10.14 W32/Suspicious_Gen2.DVVAG
nProtect 2010-10-14.01 2010.10.14 –
Panda 10.0.2.7 2010.10.13 W32/Brontok.LE
PCTools 7.0.3.5 2010.10.14 Email-Worm.Rontokbro!rem
Prevx 3.0 2010.10.14 Medium Risk Malware
Rising 22.69.03.01 2010.10.14 Trojan.Win32.Generic.523B02D0
Sophos 4.58.0 2010.10.14 Mal/SillyFDC-G
Sunbelt 7057 2010.10.14 –
SUPERAntiSpyware 4.40.0.1006 2010.10.14 –
Symantec 20101.2.0.161 2010.10.14 tokbro@mm”>W32.Rontokbro@mm
TheHacker 6.7.0.1.057 2010.10.14 –
TrendMicro 9.120.0.1004 2010.10.14 WORM_ESFURY.AA
TrendMicro-HouseCall 9.120.0.1004 2010.10.14 WORM_ESFURY.AA
VBA32 3.12.14.1 2010.10.14 –
ViRobot 2010.9.25.4060 2010.10.14 Trojan.Win32.VB.53760.A
VirusBuster 12.68.1.0 2010.10.13 –
Additional informationShow all 
MD5   : 9afdd3c9ab12d8bfe45d046d150bd47c
SHA1  : 2eb3de0e37cfaaaaee976a7a69f37e16cfb9a770
File size : 53760 bytes
publisher….: n/a
copyright….: n/a
product……: e29f18u22
description..: n/a
original name: 0.exe
internal name: 0
file version.: 1.00

 
Vemos que CAI, ClamAV, F-PROT, Fortinet, Kaspersky y SuperAntispyware, entre otros no lo detectan, lo cual es curioso tratandose de la version 1.00, aunque como decimos, de la familia de los VB.ML este es el primero que tiene estas singulares caracteristicas

Se hace dificil su manejo dado que se cierra el explorador y deja sin visión el proceso, pero se aprecia (en los ordenadores con disquetera), que no para de hacer accesos a la misma, sin duda para descargar en ella mas troyanos o para borrar ficheros, será cuestión de ver lo que hace en los disquetes que allí hubiera, aunque ya de poco les serviría…

Segun la rapidez del ordenador será mas o menos dificil su eliminación, pues cuanto mas rápido sea , mas pronto se cierra el proceso del explorer… Y con ello el ELISTARA que se esté lanzando, pero insistiendo se acaba logtando.

Lo peor es que al tener interceptados 600 ficheros, se carga cuando se lanza cualquiera de ellos, y por ello tambien arrancando en modo seguro ya que por ejemplo el Explorer es indepenciente de ello, y si se hace en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, el CMD.EXE tambien está interceptado.

Con la versión 21.80 del ELISTARA de hoy hemos implementado el control y eliminacion de este troyano, cuando se deja… 🙁  pero si asi no se logra, manualmente se puede acceder a dicho WINLOGON.EXE que cuelga en XP de DOcuments and settings… (Por lo cual no vale arrancar en Consola de recuperacion) y añadirle extension .VIR, para que en el siguiente reinicio ya no se cargue, sino irá deteniendo el EXPLORER y todo lo que esté en marcha, apagando pantalla, y vuelta a empezar…

En cuanto descubramos alguna manera mas fácil para lograr el buen fin de nuestro propósito, lo implementaremos en dicha utilidad.

saludos

ms, 14-10-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies