Nueva variante de FAKE AV XP SECURITY no detectado actualmente por casi ningun AV habitual (solo NOD32):

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Nueva variante de FAKE AV XP SECURITY no detectado actualmente por casi ningun AV habitual (solo NOD32):

Mensaje por msc hotline sat » 04 May 2011, 13:34

Nos llegan de un cliente muestras de ficheros sospechosos vistos en procesos del Administrador de tareas, y que si son renombrados, deja de poder ejecutarse EXE's, lo cual es típico en muchos malwares que se protegen interceptando los EXE FILES, para bloquear el ordenador si se elimina el fichero malware.



Se trata de una variante del FAKE AV XP SECURITY , de los que ya conocemos varios que hacen lo mismo, y que ya controlamos con el actual ELISTARA, y este nuevo pasamos a controlarlo a partir de la version 23.15 de hoy



El preanalisis ofrece este resultado:



Scanned time : 2011/05/04 13:05:59 (CEST)

Scanner results: 3% Escaner (1/37) encontró infección

File Name : sgu.vir

File Size : 348160 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 1074949570ac1632c60ca40f8249583a

SHA1 : a7ae1fb6c11071bd09a3298fc6ca7775c5976aed



Scanner Engine Ver Sig Ver Sig Date Time Scan result

a-squared 5.1.0.2 20110504011159 2011-05-04 40.10 -

AhnLab V3 2011.05.04.00 2011.05.04 2011-05-04 40.09 -

AntiVir 8.2.4.226 7.11.7.125 2011-05-04 0.29 -

Antiy 2.0.18 20110205.7694535 2011-02-05 0.12 -

Arcavir 2011 201103241627 2011-03-24 0.06 -

Authentium 5.1.1 201105040145 2011-05-04 1.98 -

AVAST! 4.7.4 110503-1 2011-05-03 0.03 -

AVG 8.5.850 271.1.1/3613 2011-05-03 1.75 -

BitDefender 7.90123.7225498 7.37348 2011-05-04 5.76 -

ClamAV 0.96.5 13043 2011-05-04 0.01 -

Comodo 4.0 8571 2011-05-03 40.09 -

CP Secure 1.3.0.5 2011.05.01 2011-05-01 0.08 -

Dr.Web 5.0.2.3300 2011.05.04 2011-05-04 12.65 -

F-Prot 4.4.4.56 20110503 2011-05-03 2.05 -

F-Secure 7.02.73807 2011.05.04.03 2011-05-04 0.24 -

Fortinet 4.2.257 13.179 2011-05-03 40.11 -

GData 22.237/22.76 20110504 2011-05-04 40.09 -

ViRobot 20110503 2011.05.03 2011-05-03 40.09 -

Ikarus T3.1.32.20.0 2011.05.04.78316 2011-05-04 6.56 -

JiangMin 13.0.900 2011.05.03 2011-05-03 40.09 -

Kaspersky 5.5.10 2011.05.04 2011-05-04 0.11 -

KingSoft 2009.2.5.15 2011.5.4.12 2011-05-04 40.09 -

McAfee 5400.1158 6320 2011-04-18 8.64 -

Microsoft 1.6802 2011.05.04 2011-05-04 40.09 -

NOD32 3.0.21 6091 2011-05-03 0.70 a variant of Win32/Kryptik.NIO trojan

Norman 6.07.08 6.07.00 2011-05-03 16.02 -

Panda 9.05.01 2011.05.02 2011-05-02 40.09 -

Trend Micro 9.200-1012 8.136.04 2011-05-04 0.06 -

Quick Heal 11.00 2011.05.03 2011-05-03 40.09 -

Rising 20.0 23.56.01.06 2011-05-03 40.10 -

Sophos 3.18.0 4.64 2011-05-04 3.70 -

Sunbelt 3.9.2491.2 9190 2011-05-03 40.09 -

Symantec 1.3.0.24 20110503.003 2011-05-03 0.21 -

nProtect 20110504.01 3431809 2011-05-04 40.09 -

The Hacker 6.7.0.1 v00176 2011-04-18 40.09 -

VBA32 3.12.16.0 20110501.1545 2011-05-01 4.75 -

VirusBuster 5.2.0.28 13.6.334.0/51152482011-05-03 0.00 -





A partir de la version de hoy del ELISTARA 23.15, que estará disponible en nuestra web a partir de las 19 h CEST de hoy, se controlará esta nueva variante.



Como colofón a lo indicado, como que si se renombra o elimina el malware, no se puede ejecutar ningun EXE por interceptar los "EXE FILES", para poder entonces ejecutar el ELISTARA, debe cambiarsele la extension y ejecutarlo como ELISTARa.SCR por ejemplo, lo cual aunque ya no encuentre el malware por haber sido eliminado anteriormente, restaurará la clave afectada y devolverá la normalidad a la ejecucion de EXE's.



saludos



ms, 4-5-2011
Arriba
Responder

Volver a “Foro Spyware”