Nueva variante de AUTORUN.VBML muy novedosa: Se carga incluso en MODO SEGURO y detiene procesos como EXPLORER.EXE, y vuelta a empezar...msc hotline sat Thursday, October 14, 2010 Es la primera de los taytantas muestras de esta famila de troyanos, que tiene estas singulares caracteristicas, lo cual le hace bastante molesto, al detener procesos como el EXPLORER.EXE, el CMD.EXE, impedir el acceso al Admisnistrador de tareas, etc. Gracias a que el ELISTARA ha logrado mover a C:\muestras en WINLOGON.EXE en el que se oculta este malware, antes de que el mismo cerrara el EXPLORER, nos han podido enviar muestra para analizar, y File name: WINLOGON.EXE.Muestra EliStartPage v21.78 Submission date: 2010-10-14 13:40:23 (UTC) Current status: queued queued analysing finished Result: 29/ 43 (67.4%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.10.14.01 2010.10.14 Worm/Win32.Rontokbro AntiVir 7.10.12.213 2010.10.14 TR/Spy.53760.147 Antiy-AVL 2.0.3.7 2010.10.14 - Authentium 5.2.0.5 2010.10.14 - Avast 4.8.1351.0 2010.10.14 Win32:Malware-gen Avast5 5.0.594.0 2010.10.14 Win32:Malware-gen AVG 9.0.0.851 2010.10.14 Generic19.BDJY BitDefender 7.2 2010.10.14 Gen:Trojan.Heur.ZGY.7 CAT-QuickHeal 11.00 2010.10.14 Worm.Esfury ClamAV 0.96.2.0-git 2010.10.14 - Comodo 6388 2010.10.14 Heur.Suspicious DrWeb 5.0.2.03300 2010.10.14 Trojan.StartPage.31715 Emsisoft 5.0.0.50 2010.10.14 Gen.Trojan!IK eSafe 7.0.17.0 2010.10.12 Win32.GenHeur.Zgy eTrust-Vet 36.1.7911 2010.10.14 - F-Prot 4.6.2.117 2010.10.13 - F-Secure 9.0.16160.0 2010.10.14 Gen:Trojan.Heur.ZGY.7 Fortinet 4.2.249.0 2010.10.14 - GData 21 2010.10.14 Gen:Trojan.Heur.ZGY.7 Ikarus T3.1.1.90.0 2010.10.14 Gen.Trojan Jiangmin 13.0.900 2010.10.14 - K7AntiVirus 9.65.2742 2010.10.13 Riskware Kaspersky 7.0.0.125 2010.10.14 - McAfee 5.400.0.1158 2010.10.14 Generic.dx!uhc McAfee-GW-Edition 2010.1C 2010.10.14 Heuristic.BehavesLike.Win32.Downloader.A Microsoft 1.6201 2010.10.14 Worm:Win32/Esfury NOD32 5531 2010.10.14 Win32/AutoRun.VB.UG Norman 6.06.07 2010.10.14 W32/Suspicious_Gen2.DVVAG nProtect 2010-10-14.01 2010.10.14 - Panda 10.0.2.7 2010.10.13 W32/Brontok.LE PCTools 7.0.3.5 2010.10.14 Email-Worm.Rontokbro!rem Prevx 3.0 2010.10.14 Medium Risk Malware Rising 22.69.03.01 2010.10.14 Trojan.Win32.Generic.523B02D0 Sophos 4.58.0 2010.10.14 Mal/SillyFDC-G Sunbelt 7057 2010.10.14 - SUPERAntiSpyware 4.40.0.1006 2010.10.14 - Symantec 20101.2.0.161 2010.10.14 W32.Rontokbro@mm TheHacker 6.7.0.1.057 2010.10.14 - TrendMicro 9.120.0.1004 2010.10.14 WORM_ESFURY.AA TrendMicro-HouseCall 9.120.0.1004 2010.10.14 WORM_ESFURY.AA VBA32 3.12.14.1 2010.10.14 - ViRobot 2010.9.25.4060 2010.10.14 Trojan.Win32.VB.53760.A VirusBuster 12.68.1.0 2010.10.13 - Additional informationShow all MD5 : 9afdd3c9ab12d8bfe45d046d150bd47c SHA1 : 2eb3de0e37cfaaaaee976a7a69f37e16cfb9a770 File size : 53760 bytes publisher....: n/a copyright....: n/a product......: e29f18u22 description..: n/a original name: 0.exe internal name: 0 file version.: 1.00 Vemos que CAI, ClamAV, F-PROT, Fortinet, Kaspersky y SuperAntispyware, entre otros no lo detectan, lo cual es curioso tratandose de la version 1.00, aunque como decimos, de la familia de los VB.ML este es el primero que tiene estas singulares caracteristicas Se hace dificil su manejo dado que se cierra el explorador y deja sin visión el proceso, pero se aprecia (en los ordenadores con disquetera), que no para de hacer accesos a la misma, sin duda para descargar en ella mas troyanos o para borrar ficheros, será cuestión de ver lo que hace en los disquetes que allí hubiera, aunque ya de poco les serviría... Segun la rapidez del ordenador será mas o menos dificil su eliminación, pues cuanto mas rápido sea , mas pronto se cierra el proceso del explorer... Y con ello el ELISTARA que se esté lanzando, pero insistiendo se acaba logtando. Lo peor es que al tener interceptados 600 ficheros, se carga cuando se lanza cualquiera de ellos, y por ello tambien arrancando en modo seguro ya que por ejemplo el Explorer es indepenciente de ello, y si se hace en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, el CMD.EXE tambien está interceptado. Con la version 21.80 del ELISTARA de hoy hemos implementado el control y eliminacion de este troyano, cuando se deja... En cuanto descubramos alguna manera mas fácil para lograr el buen fin de nuestro propósito, lo implementaremos en dicha utilidad. saludos ms, 14-10-2010 |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |