
	nueva variante de troyano autoit v3, que impide arrancar el ordenador si el fichero se ha eliminado con algun antivirus.
		descargas \| descargas ayer

zonavirus / noticias / nueva variante de troyano autoit v3, que impide arrancar el ordenador si el fichero se ha eliminado con algun antivirus.

Nueva variante de troyano AUTOIT V3, que impide arrancar el ordenador si el fichero se ha eliminado con algun antivirus.

msc hotline sat

Thursday, October 14, 2010

Al estilo de otro troyano que cambiaba el lanzamiento del USERINIT.EXE por el de un WINLOGON32.EXE o WINLOGON86.EXE, segun variante de los "FAKE AV INTERNET SECUTUIRY 2010" y "AVANCED VIRUS REMOVER 2010" respectivamente, en este caso un fichero de nombre MISSAU.EXE , que es lanzado desde el registro en cada reinicio, y que despues de cargar el virus en memoria luego ejecutará el USERINIT.EXE, pero que si se borra el fichero malware, no se ejecuta el USERINIT y el ortdenador no inicia windows.

Además, en los pendrive oculta las carpetas con atributo de S y H y en su lugar crea un fichero con el mismo nombre de la carpeta ocultada, pero con el añadido .EXE (que no se ve si no se tiene configurado ver extensiones de ficheros y carpetas), y con el mismo icono de carpeta que la carpeta real, para que asi el usuario al querer entrar en la carpeta pulsando doble click sobre el icono, lo que haga sea ejecutar el malware.

Con el ELISTARA de hoy 21.80, que estará disponible a partir de las 19 h, pasamos a detectar y eliminar dicho malware, pero no solo eliminamos el fichero en cuestion, sino que restauramos la clave de registro que lo llama, y además restauramos las carpetas ocultadas devolviendo la normalidad al ordenador y a los pendrives alterados.

Si alguien ha utilizado un antivirus que le ha borrado dicho fichero sin mas, se queda "frito" sin posibilidad de arrancar desde el disco duro, y entonces, al igual que ya hacemos para los troyanos arriba indicados, se debe arrancar con un CD de instalación y copiar el fichero USERINIT.EXE de la carpeta c:\windows\system32\ al que llamará el registro en el inicio, con el nombre impuesto por el troyano, que en este caso será MISSAU.EXE, con lo que arrancará normalmente. Tras ello lanzar el ELISTARA para terminar el proceso. Por si hubiera sido cualquiera de los otros dos, el nombre del fichero con el que copiar (no renombrer !!!) el USERINIT.EXE sería WINLOGON32.EXE o WINLOGON86.EXE

Si no se ha hecho con el ELISTARA indicado, las carpetas ocultadas en los pendrives deberán ser restauradas desde una ventana al DOS, con un ATTRIB -S -H ya que desde windows no se puede cambiar el atributo de sistema.

Muchos antivirus ya lo detectan, pero lo que les ocurra a sus usuarios, dependerá de que la restauración sea completa como la del ELISTARA o parcial, en cuyo caso ya saben que pueden hacer lo arriba indicado.

File name: Autorun.inf.exe

Submission date: 2010-10-14 10:00:18 (UTC)

Result: 39 /43 (90.7%)

VT Community

malware

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.10.14.01 2010.10.14 Win-Trojan/Xema.variant

AntiVir 7.10.12.209 2010.10.14 DR/Dldr.AutoIt.LQ

Antiy-AVL 2.0.3.7 2010.10.14 -

Authentium 5.2.0.5 2010.10.14 W32/Trojan2.MYXK

Avast 4.8.1351.0 2010.10.14 BV:Malware-gen

Avast5 5.0.594.0 2010.10.14 BV:Malware-gen

AVG 9.0.0.851 2010.10.13 Generic_c.BZMH

BitDefender 7.2 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib

CAT-QuickHeal 11.00 2010.10.14 TrojanDownloader.AutoIt.lq

ClamAV 0.96.2.0-git 2010.10.14 -

Comodo 6386 2010.10.14 Heur.Suspicious

DrWeb 5.0.2.03300 2010.10.14 Trojan.DownLoad1.53716

Emsisoft 5.0.0.50 2010.10.14 Worm.Autoit!IK

eSafe 7.0.17.0 2010.10.12 Win32.YahLover.Worm

eTrust-Vet 36.1.7910 2010.10.14 -

F-Prot 4.6.2.117 2010.10.13 W32/Trojan2.MYXK

F-Secure 9.0.15370.0 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib

Fortinet 4.2.249.0 2010.10.14 W32/Sohana.A!worm

GData 21 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib

Ikarus T3.1.1.90.0 2010.10.14 Worm.Autoit

Jiangmin 13.0.900 2010.10.14 TrojanDownloader.AutoIt.ch

K7AntiVirus 9.65.2742 2010.10.13 Trojan

Kaspersky 7.0.0.125 2010.10.14 Trojan-Downloader.Win32.AutoIt.lq

McAfee 5.400.0.1158 2010.10.14 W32/YahLover.worm.gen

McAfee-GW-Edition 2010.1C 2010.10.14 W32/YahLover.worm.gen

Microsoft 1.6201 2010.10.14 TrojanDownloader:AutoIt/Agent.A

NOD32 5530 2010.10.14 Win32/TrojanDownloader.Autoit.NBD

Norman 6.06.07 2010.10.13 W32/Obfuscated.H!genr

nProtect 2010-10-14.01 2010.10.14 Trojan/W32.Agent_Packed.254741

Panda 10.0.2.7 2010.10.13 Trj/Autoit.LT

PCTools 7.0.3.5 2010.10.14 Malware.Imaut

Prevx 3.0 2010.10.14 High Risk Worm

Rising 22.69.03.01 2010.10.14 Trojan.Win32.Autoit.dzg

Sophos 4.58.0 2010.10.14 Mal/Sohana-A

Sunbelt 7055 2010.10.14 Trojan.Win32.Generic!SB.0

SUPERAntiSpyware 4.40.0.1006 2010.10.14 Trojan.Agent/Gen

Symantec 20101.2.0.161 2010.10.14 W32.Imaut.E

TheHacker 6.7.0.1.057 2010.10.14 Trojan/Dropper.gen

TrendMicro 9.120.0.1004 2010.10.14 Mal_SHND-2

TrendMicro-HouseCall 9.120.0.1004 2010.10.14 Mal_SHND-2

VBA32 3.12.14.1 2010.10.13 Trojan-Downloader.Autoit.gen

ViRobot 2010.9.25.4060 2010.10.14 Trojan.Win32.S.Downloader.254741

VirusBuster 12.68.1.0 2010.10.13 -

MD5 : f7d896d3be87b26cde7a82087ae81531

SHA1 : 39cd425f28b8b93cdb7961c5da11afa63251f4a4

File size : 254741 bytes

saludos

ms, 14-10-2010

RSS Noticias

RSS Articulos

RSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com

zonavirus / noticias / nueva variante de troyano autoit v3, que impide arrancar el ordenador si el fichero se ha eliminado con algun antivirus.

Cual es mi ip publica

nueva variante de troyano autoit v3, que impide arrancar el ordenador si el fichero se ha eliminado con algun antivirus.