Nueva variante de AUTORUN.VBML muy novedosa: Se carga incluso en MODO SEGURO y detiene procesos como EXPLORER.EXE, y vuelta a empezar...

---

Es la primera de los taytantas muestras de esta famila de troyanos, que tiene estas singulares caracteristicas, lo cual le hace bastante molesto, al detener procesos como el EXPLORER.EXE, el CMD.EXE, impedir el acceso al Admisnistrador de tareas, etc.



Gracias a que el ELISTARA ha logrado mover a C:\muestras en WINLOGON.EXE en el que se oculta este malware, antes de que el mismo cerrara el EXPLORER, nos han podido enviar muestra para analizar, y



File name: WINLOGON.EXE.Muestra EliStartPage v21.78

Submission date: 2010-10-14 13:40:23 (UTC)

Current status: queued queued analysing finished





Result: 29/ 43 (67.4%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.10.14.01 2010.10.14 Worm/Win32.Rontokbro

AntiVir 7.10.12.213 2010.10.14 TR/Spy.53760.147

Antiy-AVL 2.0.3.7 2010.10.14 -

Authentium 5.2.0.5 2010.10.14 -

Avast 4.8.1351.0 2010.10.14 Win32:Malware-gen

Avast5 5.0.594.0 2010.10.14 Win32:Malware-gen

AVG 9.0.0.851 2010.10.14 Generic19.BDJY

BitDefender 7.2 2010.10.14 Gen:Trojan.Heur.ZGY.7

CAT-QuickHeal 11.00 2010.10.14 Worm.Esfury

ClamAV 0.96.2.0-git 2010.10.14 -

Comodo 6388 2010.10.14 Heur.Suspicious

DrWeb 5.0.2.03300 2010.10.14 Trojan.StartPage.31715

Emsisoft 5.0.0.50 2010.10.14 Gen.Trojan!IK

eSafe 7.0.17.0 2010.10.12 Win32.GenHeur.Zgy

eTrust-Vet 36.1.7911 2010.10.14 -

F-Prot 4.6.2.117 2010.10.13 -

F-Secure 9.0.16160.0 2010.10.14 Gen:Trojan.Heur.ZGY.7

Fortinet 4.2.249.0 2010.10.14 -

GData 21 2010.10.14 Gen:Trojan.Heur.ZGY.7

Ikarus T3.1.1.90.0 2010.10.14 Gen.Trojan

Jiangmin 13.0.900 2010.10.14 -

K7AntiVirus 9.65.2742 2010.10.13 Riskware

Kaspersky 7.0.0.125 2010.10.14 -

McAfee 5.400.0.1158 2010.10.14 Generic.dx!uhc

McAfee-GW-Edition 2010.1C 2010.10.14 Heuristic.BehavesLike.Win32.Downloader.A

Microsoft 1.6201 2010.10.14 Worm:Win32/Esfury

NOD32 5531 2010.10.14 Win32/AutoRun.VB.UG

Norman 6.06.07 2010.10.14 W32/Suspicious_Gen2.DVVAG

nProtect 2010-10-14.01 2010.10.14 -

Panda 10.0.2.7 2010.10.13 W32/Brontok.LE

PCTools 7.0.3.5 2010.10.14 Email-Worm.Rontokbro!rem

Prevx 3.0 2010.10.14 Medium Risk Malware

Rising 22.69.03.01 2010.10.14 Trojan.Win32.Generic.523B02D0

Sophos 4.58.0 2010.10.14 Mal/SillyFDC-G

Sunbelt 7057 2010.10.14 -

SUPERAntiSpyware 4.40.0.1006 2010.10.14 -

Symantec 20101.2.0.161 2010.10.14 W32.Rontokbro@mm

TheHacker 6.7.0.1.057 2010.10.14 -

TrendMicro 9.120.0.1004 2010.10.14 WORM_ESFURY.AA

TrendMicro-HouseCall 9.120.0.1004 2010.10.14 WORM_ESFURY.AA

VBA32 3.12.14.1 2010.10.14 -

ViRobot 2010.9.25.4060 2010.10.14 Trojan.Win32.VB.53760.A

VirusBuster 12.68.1.0 2010.10.13 -

Additional informationShow all

MD5 : 9afdd3c9ab12d8bfe45d046d150bd47c

SHA1 : 2eb3de0e37cfaaaaee976a7a69f37e16cfb9a770





File size : 53760 bytes





publisher....: n/a

copyright....: n/a

product......: e29f18u22

description..: n/a

original name: 0.exe

internal name: 0

file version.: 1.00





Vemos que CAI, ClamAV, F-PROT, Fortinet, Kaspersky y SuperAntispyware, entre otros no lo detectan, lo cual es curioso tratandose de la version 1.00, aunque como decimos, de la familia de los VB.ML este es el primero que tiene estas singulares caracteristicas



Se hace dificil su manejo dado que se cierra el explorador y deja sin visión el proceso, pero se aprecia (en los ordenadores con disquetera), que no para de hacer accesos a la misma, sin duda para descargar en ella mas troyanos o para borrar ficheros, será cuestión de ver lo que hace en los disquetes que allí hubiera, aunque ya de poco les serviría...



Segun la rapidez del ordenador será mas o menos dificil su eliminación, pues cuanto mas rápido sea , mas pronto se cierra el proceso del explorer... Y con ello el ELISTARA que se esté lanzando, pero insistiendo se acaba logtando.



Lo peor es que al tener interceptados 600 ficheros, se carga cuando se lanza cualquiera de ellos, y por ello tambien arrancando en modo seguro ya que por ejemplo el Explorer es indepenciente de ello, y si se hace en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, el CMD.EXE tambien está interceptado.



Con la version 21.80 del ELISTARA de hoy hemos implementado el control y eliminacion de este troyano, cuando se deja... :( pero si asi no se logra, manualmente se puede acceder a dicho WINLOGON.EXE que cuelga en XP de DOcuments and settings... (Por lo cual no vale arrancar en Consola de recuperacion) y añadirle extension .VIR, para que en el siguiente reinicio ya no se cargue, sino irá deteniendo el EXPLORER y todo lo que esté en marcha, apagando pantalla, y vuelta a empezar...



En cuanto descubramos alguna manera mas fácil para lograr el buen fin de nuestro propósito, lo implementaremos en dicha utilidad.



saludos



ms, 14-10-2010