NUEVO MALWARE EN FICHERO ANGELICASEXY1986 ó LOOK1986.EXE

[msc hotline sat]

A traves de una muestra de zonavirus recibida de un modo no planificado, nos ha llegado un fichero con el nombre de ANGELICASEXY1986.EXE



El icono parece ser el de un video, pero su ejecución no visualiza ningun video :? , sino mensajes antipedófilos (entre otros) e infecta el ordenador muy sencillamente pero con mala intención:



Elimina la clave de carga del EXPLORER.EXE y pone en su lugar un LOOK1986.EXE que antes de llamarlo, presenta una entrada de password durante 60 segundos y, si no se le entra, lanza un shutdown, y como que aun no ha cargado el EXPLORER, no se tiene acceso al reloj (para atrasar la hora) ni al boton de Inicio, para lanzar un INICIO-> Ejecutar-> "Shutdown -a" , con lo cual lo mas facil es consumir el tiempo y que el ordenador se apague.



Evidentemente desactiva el Taskmanager para que no se pueda detener el proceso, y si además se borra el fichero malware, al no haber ya en el registro la llamada al EXPLORER, el ordenador no lo lanza y queda tonto...



Hemos resuelto el problema a partir del ELISTARA actual, que restaura la clave modificada, elimina el malware y repone el acceso al TaSK MANAGER, y simplemente se ha de arrancar en modo seguro con solo simbolo de sistema para lanzar nuestra utilidad y listos.



A partir de la version de hoy, 17.12 ya controlamos y eliminamos esta nueva variante, que si pilla desprevenido a mas de uno... se va a llevar una sorpresa.



Además, pide $100 pesos para la solución ! entre otros mensajes antipedofilos, a saber:


[quote="TEXTOS CONTENIDOS EN EL MALWARE, que su autor"]


POR CALENTURIENTO Y PEDOFILO ABRISTE ESTE VIDEO, PARA DESBLOQUEAR ESTA COMPUTADORA COMPRA UNA TARJETA Ó FICHA DE $100 PESOS AMIGO DE TELCEL, RASPALA Y ENVIAME LOS NUMEROS A anahyperez96@hotmail.com Y TE DEVOLVERE EL MENSAJE CON EL CODIGO DE DESBLOQUEO. ¡ A V I S O !



N o m e a s u s t a s , l a j u r i s d i c c i o n d e t u p a i s n o l l e g a a d o n d e e s t o y !

1 4 2 5 0 ¦ E s t e c o d i g o y a f u e u s a d o i g u a l q u e l a f i c h a q u e m a n d a s t e , ¡ m a n d a u n a f i c h a s i n u s a r !

1 3 2 7 8 Ò E s t e c o d i g o e s i n c o r r e c t o a l i g u a l q u e l a f i c h a q u e m a n d a s t e , ¡ e n v i a l a d e n u e v o s i n e r r o r e s d e e s c r i t u r a !

7 6 4 8 2 Š r e g d e l e t e h k c u \ s o f t w a r e \ m i c r o s o f t \ w i n d o w s \ c u r r e n t v e r s i o n \ p o l i c i e s / f $ D u d a s n o c o n o s c a e l c o d i g o o q u e n o t e l o d e ? , c o m o p o d r a s v e r c o n o s c o b i e n e s t e p r o g r a m a y s e c u a l e s e l q u e l o d e s b l o q u e a , ¡ p o r q u e y o l o d i s e ñ e !

8 9 4 7 3 ( T u r e g i o n n o e s l a 9 C l a v e I n c o r r e c t a I n t r o d u c e l o s d o s p r i m e r o s n u m e r o s d e t u C o d i g o P o s t a l



CODIGO POSTAL DE TU REGION DETECTADO, PARA CONFIRMAR EL DESBLOQUEO INTRODUCE LOS DOS PRIMEROS NUMEROS DE TU CODIGO POSTAL, SI SON INCORRECTOS TU PC QUEDARA PERMANENTEMENTE BLOQUEADA.

¡ A V I S O !

Envia un email para desbloquear [/quote] Otros datos son que el virus esta editado en Visual Basic, usa la DLL MSVBVM60.DLL y el fichero look1986.exe lo crea en la carpeta de sistema, y que la zona de origen parece ser México, por el texto de sus mensajes... : (Telcel es una marca propiedad de Radiomovil DIPSA mexicana dedicada a la comercialización de telefonía móvil y datos inalámbricos. Tiene presencia en todo México. Es subsidiaria de la empresa mexicana América Móvil, una filial de CARSO Holding Telecom. -Fuente Wilkipedia-)



Si alguien lo ve venir o lo sufre, ya sabe a qué atenerse y como proceder.



saludos



ms, 6-10-2008





NOTA: Y lo hemos bautizado asi ya que solo un antivirus lo identificaba (Virus.Win32.VB.dl) y otro como sospechoso, pero visto lo que dice ser, le llamamos malware ANTIPEDOFILO, que lo es !:


[quote="VirusTotal"]File [b][i]angelicasexy1986.exe[/i][/b] received on 10.06.2008 13:20:58 (CET)

Current status: finished



Result: 2/36 (5.56%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.10.3.2 2008.10.06 -

AntiVir 7.8.1.34 2008.10.06 -

Authentium 5.1.0.4 2008.10.05 -

Avast 4.8.1248.0 2008.10.05 -

AVG 8.0.0.161 2008.10.05 -

BitDefender 7.2 2008.10.06 -

CAT-QuickHeal 9.50 2008.10.06 -

ClamAV 0.93.1 2008.10.06 -

DrWeb 4.44.0.09170 2008.10.06 -

eSafe 7.0.17.0 2008.10.05 -

eTrust-Vet 31.6.6131 2008.10.06 -

Ewido 4.0 2008.10.06 -

F-Prot 4.4.4.56 2008.10.05 -

F-Secure 8.0.14332.0 2008.10.06 -

Fortinet 3.113.0.0 2008.10.06 -

GData 19 2008.10.06 -

Ikarus T3.1.1.34.0 2008.10.06 [b][i]Virus.Win32.VB.dl [/i][/b]

K7AntiVirus 7.10.484 2008.10.04 -

Kaspersky 7.0.0.125 2008.10.06 -

McAfee 5398 2008.10.04 -

Microsoft 1.4005 2008.10.06 -

NOD32 3496 2008.10.06 -

Norman 5.80.02 2008.10.03 -

Panda 9.0.0.4 2008.10.05 [b][i]Suspicious file[/i][/b]

PCTools 4.4.2.0 2008.10.05 -

Prevx1 V2 2008.10.06 -

Rising 20.65.02.00 2008.10.06 -

SecureWeb-Gateway 6.7.6 2008.10.06 -

Sophos 4.34.0 2008.10.06 -

Sunbelt 3.1.1704.1 2008.10.05 -

Symantec 10 2008.10.06 -

TheHacker 6.3.1.0.101 2008.10.04 -

TrendMicro 8.700.0.1004 2008.10.06 -

VBA32 3.12.8.6 2008.10.05 -

ViRobot 2008.10.6.1408 2008.10.06 -

VirusBuster 4.5.11.0 2008.10.05 -

Additional information

Tamano archivo: 122880 bytes

MD5...: 79cc268b6b1c662f089682e4de3ac813
[/quote]

ms.

[msc hotline sat]

ALGUIEN TENIA QUE ESTAR EN EL PODIUM DE LOS PRIMEROS EN CONTROLARLO ... :wink: :roll: :mrgreen: