AtwtusbIcon.exe (SOLUCIONADO)

[tropicalia]

Hola

Quería saber si la aplicación AtwtusbIcon.exe es realmente un virus. En la red la información es confusa.

Gracias

[msc hotline sat]

El nombre de un fichero no implica el contenido...



Efectivamente con este nombre se conoce algun malware:



http://www.incodesolutions.com/threats4/System32Rootatwtusbiconexe.php



Si quiere, envienos el fichero y tras analizarlo, informaremos del que nos envie:


[quote]


ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES



Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


[/quote]

saludos



ms, 7-4-2012

[tropicalia]

Gracias por la atención.

He enviado la muestra como se indica. Por si sirve de ayuda, el archivo se encuentra en C:/Windows/system32

[msc hotline sat]

Pues el martes, cuando volvamos al trabajo, lo analizaremos e informaremos



Mientras, si quieres, subelo a virustotal y posteanos con un copiar y pegar, el informe resultante:



www.virustotal.com/es



saludos



ms, 7-4-2012

[tropicalia]

Hola,

este es el informe del análisi en virustotal.



SHA256: aa7d09f4759559fd0bc90fe79596f29a509f811849539924f19047bfe32863e8

SHA1: feb408515b099ec71517fb21402f9796a458890d

MD5: cc8dd97f08296a237c77cf28cb00923b

Tamaño: 721.7 KB ( 739048 bytes )

Nombre: AtwtusbIcon.exe

Tipo: Win32 EXE

Detecciones: 0 / 41

Fecha de análisis: 2012-04-07 17:10:21 UTC ( hace 1 minuto )





ssdeep

12288:/Fjq5x2shG0/MTd2iAwYLbPrhyk4QfFHSL:/Fu4uGXAwwfhyk5SL

TrID

Win32 Executable MS Visual C++ (generic) (75.0%)

Win32 Executable Generic (16.9%)

Generic Win/DOS Executable (3.9%)

DOS Executable Generic (3.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)



ExifTool

UninitializedDataSize....: 0

InitializedDataSize......: 508416

ImageVersion.............: 0.0

FileVersionNumber........: 1.0.0.1

LanguageCode.............: English (U.S.)

FileFlagsMask............: 0x003f

FileDescription..........: Show Atwtusb Icon Application

CharacterSet.............: Windows, Latin1

LinkerVersion............: 9.0

FileOS...................: Win32

MIMEType.................: application/octet-stream

Subsystem................: Windows GUI

FileVersion..............: 1.0.0.1

TimeStamp................: 2010:07:15 09:59:08+02:00

FileType.................: Win32 EXE

PEType...................: PE32

InternalName.............: AtwtusbIcon.exe

ProductVersion...........: 1.0.0.1

SubsystemVersion.........: 5.0

OSVersion................: 5.0

OriginalFilename.........: AtwtusbIcon.exe

LegalCopyright...........: Copyright (C) 2010

MachineType..............: Intel 386 or later, and compatibles

CodeSize.................: 225792

FileSubtype..............: 0

ProductVersionNumber.....: 1.0.0.1

EntryPoint...............: 0x23e7b

ObjectFileType...........: Executable application



Sigcheck

original name............: AtwtusbIcon.exe

copyright................: Copyright (C) 2010

description..............: Show Atwtusb Icon Application

file version.............: 1.0.0.1

internal name............: AtwtusbIcon.exe



Portable Executable structural information

Compilation timedatestamp.....: 2010-07-15 07:59:08

Target machine................: 0x14C (Intel 386 or later processors and compatible processors)

Entry point address...........: 0x00023E7B



PE Sections...................:



Name Virtual Address Virtual Size Raw Size Entropy MD5

.text 4096 225753 225792 6.58 5d0b485945dcf9129c61b25d331f2652

.rdata 233472 60608 60928 4.85 3a208357d1d2daf7e72ac8c9fa501955

.data 294912 27096 11776 4.19 0e874252ea033d12fa26d4319667c6f7

.rsrc 323584 400320 400384 5.98 776fcd53c81ef3b3bb0b0ea488fe78fc

.reloc 724992 35310 35328 4.02 413c37b82265b2142e06c1e593a0fb8e



PE Imports....................:



COMDLG32.dll

GetFileTitleW



COMCTL32.dll

InitCommonControlsEx



GDI32.dll

CreateCompatibleDC, GetStockObject, GetDeviceCaps, CreateSolidBrush, CreateFontIndirectW, GetTextExtentPoint32W, CreateCompatibleBitmap, CreatePatternBrush, GetBkColor, GetTextColor, CreateRectRgnIndirect, GetRgnBox, GetMapMode, DeleteDC, ExtSelectClipRgn, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, CreateBitmap, SelectObject, Escape, ExtTextOutW, TextOutW, RectVisible, PtVisible, GetPixel, BitBlt, GetWindowExtEx, GetViewportExtEx, DeleteObject, SetMapMode, SetBkMode, RestoreDC, SaveDC, GetObjectW, SetBkColor, SetTextColor, GetClipBox, SetViewportOrgEx



ADVAPI32.dll

RegDeleteKeyW, RegQueryValueW, RegOpenKeyW, RegEnumKeyW, RegCloseKey, RegSetValueExW, RegCreateKeyExW, RegOpenKeyExW, RegQueryValueExW



KERNEL32.dll

HeapAlloc, HeapFree, RtlUnwind, RaiseException, HeapReAlloc, HeapSize, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, SetUnhandledExceptionFilter, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, HeapCreate, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, TerminateProcess, ExitProcess, IsDebuggerPresent, InitializeCriticalSectionAndSpinCount, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, GetTimeZoneInformation, GetLocaleInfoA, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, SetEnvironmentVariableA, Sleep, GetStartupInfoW, GetFileTime, GetFileSizeEx, GetFileAttributesW, FileTimeToLocalFileTime, SetErrorMode, FileTimeToSystemTime, CreateFileW, GetFullPathNameW, GetVolumeInformationW, FindFirstFileW, FindClose, GetCurrentProcess, DuplicateHandle, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, lstrlenA, GetThreadLocale, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalFlags, FormatMessageW, LocalFree, GlobalGetAtomNameW, InterlockedDecrement, MulDiv, GetModuleHandleA, GlobalFindAtomW, GetVersionExW, CompareStringW, LoadLibraryA, GetVersionExA, GlobalAddAtomW, CloseHandle, GlobalUnlock, WritePrivateProfileStringW, FreeResource, GlobalFree, GetCurrentProcessId, GetLastError, SetLastError, lstrlenW, GetTickCount, GlobalDeleteAtom, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, EnumResourceLanguagesW, GetModuleFileNameW, lstrcmpA, GetLocaleInfoW, LoadLibraryW, WideCharToMultiByte, CompareStringA, MultiByteToWideChar, InterlockedExchange, GlobalLock, lstrcmpW, GlobalAlloc, FreeLibrary, GetModuleHandleW, GetProcAddress, lstrcpynW, GetPrivateProfileStringW, FindResourceW, LoadResource, LockResource, SizeofResource, GetPrivateProfileIntW, UnhandledExceptionFilter, WinExec



WINSPOOL.DRV

DocumentPropertiesW, ClosePrinter, OpenPrinterW



OLEAUT32.dll

-, -, -, -, -, -, -, -, -, -, -, -



SHELL32.dll

ShellExecuteW, Shell_NotifyIconW, DragFinish, DragQueryFileW, SHGetSpecialFolderPathW



ole32.dll

CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes, CoRegisterMessageFilter, OleFlushClipboard, OleIsCurrentClipboard, CoRevokeClassObject, CoGetClassObject, CoTaskMemAlloc, CoTaskMemFree, CLSIDFromString, CLSIDFromProgID, OleInitialize, CoFreeUnusedLibraries, OleUninitialize



SHLWAPI.dll

PathFindFileNameW, PathStripToRootW, PathIsUNCW, PathFindExtensionW



USER32.dll

GetNextDlgGroupItem, MessageBeep, GetSysColorBrush, CharUpperW, UnregisterClassW, LoadAcceleratorsW, InvalidateRect, InsertMenuItemW, CreatePopupMenu, SetRectEmpty, BringWindowToTop, TranslateAcceleratorW, SystemParametersInfoW, DestroyMenu, GetMenuItemInfoW, InflateRect, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, FillRect, SendDlgItemMessageA, WinHelpW, IsChild, GetCapture, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, GetForegroundWindow, BeginDeferWindowPos, EndDeferWindowPos, GetTopWindow, UnhookWindowsHookEx, GetMessageTime, MapWindowPoints, TrackPopupMenu, SetMenu, SetForegroundWindow, SetCapture, GetMenuItemID, GetMenuItemCount, CreateWindowExW, GetClassInfoExW, RegisterClassW, GetSysColor, AdjustWindowRectEx, ScreenToClient, EqualRect, DeferWindowPos, CopyRect, PtInRect, DefWindowProcW, CallWindowProcW, GetMenu, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, ShowOwnedPopups, SetCursor, SetWindowsHookExW, CallNextHookEx, GetMessageW, TranslateMessage, DispatchMessageW, IsWindowVisible, GetKeyState, PeekMessageW, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, ModifyMenuW, GetMenuState, EnableMenuItem, CheckMenuItem, GetDesktopWindow, GetActiveWindow, SetActiveWindow, RegisterWindowMessageW, UpdateWindow, EnableWindow, LoadCursorW, CreateDialogIndirectParamW, DestroyWindow, GetNextDlgTabItem, EndDialog, GetWindowTextW, GetFocus, SetFocus, ShowWindow, MoveWindow, SetWindowLongW, GetDlgCtrlID, InvalidateRgn, SetRect, IsRectEmpty, CopyAcceleratorTableW, CharNextW, PostThreadMessageW, IsWindow, SetWindowTextW, UnpackDDElParam, ReuseDDElParam, ReleaseCapture, LoadIconW, DestroyIcon, GetCursorPos, LoadMenuW, GetSubMenu, GetAsyncKeyState, SendMessageW, GetClassInfoW, IsIconic, GetSystemMetrics, GetClientRect, DrawIcon, PostMessageW, FindWindowW, KillTimer, SetTimer, PostQuitMessage, RegisterClipboardFormatW, MessageBoxW, IsWindowEnabled, GetLastActivePopup, GetWindowLongW, GetParent, GetWindowThreadProcessId, SetWindowPos, MapDialogRect, SetWindowContextHelpId, GetWindow, GetDlgItem, SendDlgItemMessageW, IsDialogMessageW, GetMessagePos



oledlg.dll

OleUIBusyW

Primer envío a VirusTotal

2010-12-17 07:32:17 UTC ( hace 1 año, 3 meses )

Último envio a VirusTotal

2012-04-07 17:10:21 UTC ( hace 1 minuto )

Nombres (max. 25)

1.AtwtusbIcon.exe

[msc hotline sat]

Pues ya ves que en este caso no hay detecciones viricas con ninguno de los 41 AV actuales:



Detecciones: 0 / 41



Pero tu duda era razonable, ya que con el mismo nombre pero otro contenido, si que resultaría ser malicioso, como ya se ve en el enlace indicado



http://www.incodesolutions.com/threats4/System32Rootatwtusbiconexe.php



saludos



ms, 7-4-2012

[tropicalia]

Sí, parece que este no lo era. Mi pregunta se debía a que tuve un problema con el ordenador, no me respondía y hacía alguna locura, al dar al administrador de tareas además de mi programa aparecía activo el icono de AtwtusbIcon.exe y me pareció raro. Hoy también me dio algún problema por la mañana y en un momento dado apareció de nuevo el icono junto al reloj. Después de reiniciar no me ha vuelto a aparecer.

Gracias por la ayuda.



(Quiero plantear otra duda sobre el ejecutable yorkit.exe, ¿puedo abrir nuevo tama o se considera parte del mismo?)

[msc hotline sat]

Te contesto aqui mismo al respecto del YORKIT:



No es una aplicacion nuestra, por lo cual no la utilizamos en este foro.



Creo que es de Panda, y es para el SIREFEF (ZEROACCESS), para lo cual nosotros disponemos del ELISIREF.EXE:



[b] ELISIREF.EXE [/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp



Como que este Tema está solucionado, procedemos a cerrarlo. Si necesitas algo mas, abre un nuevo Tema e indica el problema (pero no "soluciones" como esto del YORKIT, claro)



saludos



ms, 10-4-2012