Nuevo Fake alert todavía no detectado aun por los principales antivirus
Recibidas hoy muestras de nuevo malware, analizado con el VirusTotal actual ofrece:
File rygwz7313434.exe received on 2009.09.08 09:57:41 (UTC)
Current status: finished
Result: 11/41 (26.83%)
Compact Print results Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.08 –
AhnLab-V3 5.0.0.2 2009.09.08 Win-Trojan/Fakealert.130048.I
AntiVir 7.9.1.12 2009.09.08 –
Antiy-AVL 2.0.3.7 2009.09.08 –
Authentium 5.1.2.4 2009.09.07 –
Avast 4.8.1351.0 2009.09.07 –
AVG 8.5.0.409 2009.09.08 Downloader.Generic8.BNFB
BitDefender 7.2 2009.09.08 –
CAT-QuickHeal 10.00 2009.09.08 –
ClamAV 0.94.1 2009.09.08 –
Comodo 2204 2009.09.08 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.09.08 Trojan.Fakealert.4954
eSafe 7.0.17.0 2009.09.06 –
eTrust-Vet 31.6.6725 2009.09.08 Win32/Banbot!generic
F-Prot 4.5.1.85 2009.09.07 –
F-Secure 8.0.14470.0 2009.09.08 –
Fortinet 3.120.0.0 2009.09.08 –
GData 19 2009.09.08 –
Ikarus T3.1.1.72.0 2009.09.08 –
Jiangmin 11.0.800 2009.09.08 –
K7AntiVirus 7.10.837 2009.09.05 –
Kaspersky 7.0.0.125 2009.09.08 –
McAfee 5734 2009.09.07 –
McAfee+Artemis 5734 2009.09.07 Artemis!7BE7BD3003B0
McAfee-GW-Edition 6.8.5 2009.09.08 Heuristic.BehavesLike.Win32.Downloader.B
Microsoft 1.5005 2009.09.08 –
NOD32 4405 2009.09.08 a variant of Win32/TrojanDownloader.FakeAlert.AFJ
Norman 6.01.09 2009.09.08 W32/Obfuscated.R!genr
nProtect 2009.1.8.0 2009.09.08 –
Panda 10.0.2.2 2009.09.07 Suspicious file
PCTools 4.4.2.0 2009.09.07 –
Prevx 3.0 2009.09.08 Medium Risk Malware
Rising 21.46.12.00 2009.09.08 –
Sophos 4.45.0 2009.09.08 –
Sunbelt 3.2.1858.2 2009.09.07 –
Symantec 1.4.4.12 2009.09.08 –
TheHacker 6.3.4.3.397 2009.09.07 –
TrendMicro 8.950.0.1094 2009.09.08 –
VBA32 3.12.10.10 2009.09.08 –
ViRobot 2009.9.8.1922 2009.09.08 –
VirusBuster 4.6.5.0 2009.09.07 –
Additional information
File size: 130048 bytes
MD5 : 7be7bd3003b056dbd93c3aa981ae95f4
SHA1 : 107f64ab66a2c4963fd52b8efe9f4eb21e95afe6
Como se ve en el analisis, ni AVAST, ni BitDefender, ni F-Prot, ni F-Secure, ni Kaspersky, ni Sophos, ni Symantec, ni Trend lo huelen todavía, por lo que mucho cuidado con él, que es cuando mas facilmente se puede colar…
Como dato significativo, hemos visto que en la clave de lanzamiento utiliza un valor que lo delata:
O4 – HKLM\..\Run: [realtekc] “C:\Documents and Settings\<usuario>\Datos de programa\Gmail\rygwz7313434.exe” 2
fijarse que es anormal dicho valor “[realtekc]”
De momento con nuestra utilidad ELIMD5 y los hashes indicados ya se puede controlar
MD5 : 7be7bd3003b056dbd93c3aa981ae95f4
SHA1 : 107f64ab66a2c4963fd52b8efe9f4eb21e95afe6
y esta tarde a partir de las 19 h estará controlado con el ELISTARA 19.22
saludos
ms, 8-9-2009
NOTA IMPORTANTE: [/u][/b]
Al monitorizarlo hemos visto que se presenta como si fuera del centro de seguridad de windows, con cortafuegos activo (lo cual no era cierto) y en inglés (cuando el sistema estaba en castellano) avisaba de una infección del CONFLICKER:C (fijarse que añaden una L) indicando falta de parches y proponiendo su descarga e instalación… lo cual si se acepta no es lo que descarga, claro 🙂 !
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.