Inicio de zonavirus, antivirus

Nuevas variantes de virus de pendrive que usan iconos de carpeta

msc hotline sat
Tuesday, June 30, 2009

Ayer informabamos de la detección de una nueva variante que utilizaba icono de carpeta para ser ejecutado involuntariamente, si no se tiene configurado windows para que muestre las extensiones de los ficheros, el cual ya pasamos a controlar como AUTORUN.DQ , pero es que hoy nos llegan otros dos que utilizan la misma argucia, los cuales pasamos a controlar a partir del ELISTARA de hoy, 18.92, pero hacemos especial mención de uno de ellos, el AUTORUN.O , por su picaresca de crear copias de sí mismo con diferentes nombres, usados por el sistema de Windows, además de crear dos procesos activos que vigilan su presencia y los regeneran si uno de ellos es eliminado:



Aparte, detiene el proceso del REGEDIT, e instala en el HOSTS redireccionbes de las URL de las principales casas antivirus para que no se pueda acceder a ellas:



127.0.0.1 avp.com

127.0.0.1 ca.com

127.0.0.1 customer.symantec.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 microsoft.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 networkassociates.com

127.0.0.1 pandasoftware.com

127.0.0.1 rads.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 sophos.com

127.0.0.1 symantec.com

127.0.0.1 trendmicro.com

127.0.0.1 updates.symantec.com

127.0.0.1 update.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 viruslist.com

127.0.0.1 virustotal.com

127.0.0.1 http://www.avp.com

127.0.0.1 http://www.f-secure.com

127.0.0.1 http://www.grisoft.com

127.0.0.1 http://www.kaspersky.com

127.0.0.1 http://www.mcafee.com

127.0.0.1 http://www.microsoft.com

127.0.0.1 http://www.moneybookers.com

127.0.0.1 http://www.my-etrust.com

127.0.0.1 http://www.nai.com

127.0.0.1 http://www.networkassociates.com

127.0.0.1 http://www.pandasoftware.com

127.0.0.1 http://www.sophos.com

127.0.0.1 http://www.symantec.com

127.0.0.1 http://www.trendmicro.com

127.0.0.1 http://www.virustotal.com

127.0.0.1 u20.eset.com

127.0.0.1 u21.eset.com

127.0.0.1 u22.eset.com

127.0.0.1 u23.eset.com

127.0.0.1 u24.eset.com

127.0.0.1 89.202.157.135

127.0.0.1 89.202.157.136

127.0.0.1 89.202.157.137

127.0.0.1 89.202.157.138

127.0.0.1 89.202.157.139

127.0.0.1 u30.eset.com

127.0.0.1 u31.eset.com

127.0.0.1 u32.eset.com

127.0.0.1 u33.eset.com

127.0.0.1 u34.eset.com

127.0.0.1 u35.eset.com

127.0.0.1 u36.eset.com

127.0.0.1 u37.eset.com

127.0.0.1 u38.eset.com

127.0.0.1 u39.eset.com

127.0.0.1 u40.eset.com

127.0.0.1 u41.eset.com

127.0.0.1 u42.eset.com

127.0.0.1 u43.eset.com

127.0.0.1 u44.eset.com

127.0.0.1 u45.eset.com

127.0.0.1 u46.eset.com

127.0.0.1 u47.eset.com

127.0.0.1 u48.eset.com

127.0.0.1 u49.eset.com





Los ficheros que crea con su código vírico son los siguientes:



%WinDir%\ Regedit\ SVCHOST.EXE

%WinDir%\ SYSTEM.EXE

C:\ Autorun.inf

C:\ Setup.exe

C:\ Mi Musica.exe

C:\ Mis Documentos.exe

C:\ Mis Fotos.exe

C:\ Mis Imagenes.exe



Ni que decir tiene que la "Ingeniería social" de que las "carpetas" Mi Musica, Mis Documentos, Mis Fotos y Mis Imagenes, lancen el virus al pulsar doble click sobre ellas (son los ficheros, claro), consigue su propósito !





E instala una clave para que se lance en cada reinicio:





"Svchost"="C:\\Windows\\regedit\\svchost.exe"



Por supuesto que el ELISTARA corrige dichas entradas, restaura las claves modificadas y elimina los malwares creados por dicha variante,





Aparte este troyano infecta pendrives con el mismo, logrando propagar dicho malware a otros pendrives y ordenadores no protegidos con el ELIPEN.



Además de aconsejar configurar windows para que muestre las extensiones de los ficheros y para no ocultar los ficheros Hidden y de Sistema, recordamos la conveniencia de vacunar ordenadores y pendrives con el ELIPEN, para evitar la propagación de los virus de pendrive, tan abundantes y de moda hoy en día.



saludos



ms, 30-6-2009

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto