Nuevo troyano que usa nombre de WINLOGON.EXE, oculta carpetas y ficheros en unidades extraibles y se propaga por pendrivemsc hotline sat Wednesday, July 21, 2010 Una nueva variante de AUTORUN.VB.ML con singulares características, ha hecho su aparición: Se lanza desde un AUTORUN.ONF con mucha pala, desde una ruta bastante larga ...y con nombre de fichero shell\open\command=h3wjKiH9lvqErmFO0mG6HlXplgLV3LeYuVHdaRjetLhEN80 DYiEPQXQY2sziakx2axTnS4SApIY8ELg3lSPkbMnv9Qm\S-3-7-01-3639077401-4404491267-704113574- 1143\EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe Queda residente. Detiene Procesos y ventanas de propiedades. Oculta ficheros del sistema y extensiones. (Continuamente esta accediendo a la Disketera y al Pendrive) Si existen Carpetas en la Disketera o en el Pendrive les pone attributos (+s+h+r) y genera un link con el mismo nombre apuntando al malware: "%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler h3wjKiH9lvqErmFO0mG6HlXplgLV3LeYuVHdaRjetLhEN80DYiEPQXQY2sziakx2axTn S4SApIY8ELg3lSPkbMnv9Qm\EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe" y modifica claves del registro de sistema para ser lanzado en cada reinicio, desde C:\Documents and Settings\Administrador\Administrador1\winlogon.exe" y desactiva la posibilidad de lanzar una restauracion de sistema a un punto anterior al problema. Se distingue facilmente por la modificación de la página de inicio a "Default_Page_URL"="http://www.nuevaq.fm" Una vez eliminado el troyano con el ELISTARA, se deben restablecer los cambios efectuados por el malware en el sistema, eliminando los links de llamada al troyano (en lugar de las carpetas) y quitando los atributos S, H y R a las carpetas ocultadas Recuerdo que alguna vez nos han preguntado si esta web es maliciosa: "http://www.nuevaq.fm" , sin necesidad de que lo sea, ahora sabemos que la instala como pagina de inicio del I.E. este troyano, lo cual se indica para quien pueda estar interesado. Lo pasamos a controlar a partir del ELISTARA 21.42 de hoy como AUTORUN.VB.ML saludos ms, 21-7-2010 NOTA: El preanalisis con VirusTotal indica que lo detectan solo 10 de los 42 antivirus empleados File winlogon.exe.Muestra_EliMover_v1. received on 2010.07.21 08:55:33 (UTC) Current status: finished Result: 10/42 (23.81%) Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.07.21.00 2010.07.20 - AntiVir 8.2.4.22 2010.07.21 - Antiy-AVL 2.0.3.7 2010.07.21 - Authentium 5.2.0.5 2010.07.21 - Avast 4.8.1351.0 2010.07.20 - Avast5 5.0.332.0 2010.07.20 - AVG 9.0.0.851 2010.07.20 - BitDefender 7.2 2010.07.21 - CAT-QuickHeal 11.00 2010.07.21 - ClamAV 0.96.0.3-git 2010.07.21 - Comodo 5496 2010.07.21 - DrWeb 5.0.2.03300 2010.07.21 - Emsisoft 5.0.0.34 2010.07.20 Trojan.Click!IK eSafe 7.0.17.0 2010.07.20 - eTrust-Vet 36.1.7726 2010.07.21 - F-Prot 4.6.1.107 2010.07.21 - F-Secure 9.0.15370.0 2010.07.21 - Fortinet 4.1.143.0 2010.07.20 - GData 21 2010.07.21 - Ikarus T3.1.1.84.0 2010.07.21 Trojan.Click Jiangmin 13.0.900 2010.07.21 - Kaspersky 7.0.0.125 2010.07.21 - McAfee 5.400.0.1158 2010.07.21 Artemis!9590DDCDF3FC McAfee-GW-Edition 2010.1 2010.07.21 Artemis!9590DDCDF3FC Microsoft 1.6004 2010.07.21 - NOD32 5296 2010.07.20 a variant of Win32/Injector.CHN Norman 6.05.11 2010.07.20 - nProtect 2010-07-21.01 2010.07.21 - Panda 10.0.2.7 2010.07.20 Trj/CI.A PCTools 7.0.3.5 2010.07.21 - Prevx 3.0 2010.07.21 - Rising 22.57.02.04 2010.07.21 - Sophos 4.55.0 2010.07.21 Mal/SillyFDC-G Sunbelt 6611 2010.07.21 - SUPERAntiSpyware 4.40.0.1006 2010.07.21 - Symantec 20101.1.1.7 2010.07.21 - TheHacker 6.5.2.1.322 2010.07.20 - TrendMicro 9.120.0.1004 2010.07.21 TROJ_HIDFILE.MCL TrendMicro-HouseCall 9.120.0.1004 2010.07.21 TROJ_HIDFILE.MCL VBA32 3.12.12.6 2010.07.20 Trojan.VB.Schmidti ViRobot 2010.6.21.3896 2010.07.21 - VirusBuster 5.0.27.0 2010.07.20 - Additional information File size: 237568 bytes MD5 : 9590ddcdf3fc6cfff6d37777466a96a3 SHA1 : cf4c6eda393ee36635c4c5747f9f6df3b3862de1 Como se ve, muchos antivirus conocidos no lo detectan. Los usuarios de los mismos deben tener escial cuidado. ms. |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |