Nuevo troyano que usa nombre de WINLOGON.EXE, oculta carpetas y ficheros en unidades extraibles y se propaga por pendrive

---

Una nueva variante de AUTORUN.VB.ML con singulares características, ha hecho su aparición:



Se lanza desde un AUTORUN.ONF con mucha pala, desde una ruta bastante larga ...y con nombre de fichero



shell\open\command=h3wjKiH9lvqErmFO0mG6HlXplgLV3LeYuVHdaRjetLhEN80

DYiEPQXQY2sziakx2axTnS4SApIY8ELg3lSPkbMnv9Qm\S-3-7-01-3639077401-4404491267-704113574-

1143\EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe



Queda residente.



Detiene Procesos y ventanas de propiedades.



Oculta ficheros del sistema y extensiones.



(Continuamente esta accediendo a la Disketera y al Pendrive)



Si existen Carpetas en la Disketera o en el Pendrive les pone attributos

(+s+h+r) y genera un link con el mismo nombre apuntando al malware:



"%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler h3wjKiH9lvqErmFO0mG6HlXplgLV3LeYuVHdaRjetLhEN80DYiEPQXQY2sziakx2axTn

S4SApIY8ELg3lSPkbMnv9Qm\EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe"



y modifica claves del registro de sistema para ser lanzado en cada reinicio, desde C:\Documents and Settings\Administrador\Administrador1\winlogon.exe"



y desactiva la posibilidad de lanzar una restauracion de sistema a un punto anterior al problema.



Se distingue facilmente por la modificación de la página de inicio a "Default_Page_URL"="http://www.nuevaq.fm"



Una vez eliminado el troyano con el ELISTARA, se deben restablecer los cambios efectuados por el malware en el sistema, eliminando los links de llamada al troyano (en lugar de las carpetas) y quitando los atributos S, H y R a las carpetas ocultadas



Recuerdo que alguna vez nos han preguntado si esta web es maliciosa: "http://www.nuevaq.fm" , sin necesidad de que lo sea, ahora sabemos que la instala como pagina de inicio del I.E. este troyano, lo cual se indica para quien pueda estar interesado.



Lo pasamos a controlar a partir del ELISTARA 21.42 de hoy como AUTORUN.VB.ML



saludos



ms, 21-7-2010





NOTA: El preanalisis con VirusTotal indica que lo detectan solo 10 de los 42 antivirus empleados



File winlogon.exe.Muestra_EliMover_v1. received on 2010.07.21 08:55:33 (UTC)

Current status: finished



Result: 10/42 (23.81%)

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2010.07.21.00 2010.07.20 -

AntiVir 8.2.4.22 2010.07.21 -

Antiy-AVL 2.0.3.7 2010.07.21 -

Authentium 5.2.0.5 2010.07.21 -

Avast 4.8.1351.0 2010.07.20 -

Avast5 5.0.332.0 2010.07.20 -

AVG 9.0.0.851 2010.07.20 -

BitDefender 7.2 2010.07.21 -

CAT-QuickHeal 11.00 2010.07.21 -

ClamAV 0.96.0.3-git 2010.07.21 -

Comodo 5496 2010.07.21 -

DrWeb 5.0.2.03300 2010.07.21 -

Emsisoft 5.0.0.34 2010.07.20 Trojan.Click!IK

eSafe 7.0.17.0 2010.07.20 -

eTrust-Vet 36.1.7726 2010.07.21 -

F-Prot 4.6.1.107 2010.07.21 -

F-Secure 9.0.15370.0 2010.07.21 -

Fortinet 4.1.143.0 2010.07.20 -

GData 21 2010.07.21 -

Ikarus T3.1.1.84.0 2010.07.21 Trojan.Click

Jiangmin 13.0.900 2010.07.21 -

Kaspersky 7.0.0.125 2010.07.21 -

McAfee 5.400.0.1158 2010.07.21 Artemis!9590DDCDF3FC

McAfee-GW-Edition 2010.1 2010.07.21 Artemis!9590DDCDF3FC

Microsoft 1.6004 2010.07.21 -

NOD32 5296 2010.07.20 a variant of Win32/Injector.CHN

Norman 6.05.11 2010.07.20 -

nProtect 2010-07-21.01 2010.07.21 -

Panda 10.0.2.7 2010.07.20 Trj/CI.A

PCTools 7.0.3.5 2010.07.21 -

Prevx 3.0 2010.07.21 -

Rising 22.57.02.04 2010.07.21 -

Sophos 4.55.0 2010.07.21 Mal/SillyFDC-G

Sunbelt 6611 2010.07.21 -

SUPERAntiSpyware 4.40.0.1006 2010.07.21 -

Symantec 20101.1.1.7 2010.07.21 -

TheHacker 6.5.2.1.322 2010.07.20 -

TrendMicro 9.120.0.1004 2010.07.21 TROJ_HIDFILE.MCL

TrendMicro-HouseCall 9.120.0.1004 2010.07.21 TROJ_HIDFILE.MCL

VBA32 3.12.12.6 2010.07.20 Trojan.VB.Schmidti

ViRobot 2010.6.21.3896 2010.07.21 -

VirusBuster 5.0.27.0 2010.07.20 -

Additional information

File size: 237568 bytes

MD5 : 9590ddcdf3fc6cfff6d37777466a96a3

SHA1 : cf4c6eda393ee36635c4c5747f9f6df3b3862de1



Como se ve, muchos antivirus conocidos no lo detectan. Los usuarios de los mismos deben tener escial cuidado. ms.