UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUX

---

Nos hemos encontrado con una especie de Rootkit, descargado por FAKE WRITE, que al ejecutarse



- Queda residente. (utilizando como proceso activo el"WUAUCLT.EXE")

- Oculta ficheros del sistema.

- Intercepta algunas aplicaciones como "hijackthis.exe", "rstrui.exe", "spybotsd.exe", etc

- El Nombre de la Carpeta especial donde se esconde, asi como el Fichero y el Valor del Registro varian según sistema.





Mientras esté activo, dicha carpeta especial, tiene propiedades de la carpeta de "Impresoras", con contenido no visible.



Mientras está en uso, no se puede eliminar ni la Carpeta ni las claves del registro de lanzamiento.





Por ello es muy importante para su detección y eliminación, arrancar en MODO SEGURO, y en dicho modo, lanzar el ELISTARA.





El preanalisis de virustotal, nos muestra este informe:



SHA256: 56922e73930b1c2a79dc422bf3b7d23cf8e5683c7022b5723d2dd7f56cb7811a

SHA1: 42bb4719528d9138e84d1fe560770e33f335419e

MD5: c1c917feab6c7a4340c692ffc1793fae

Tamaño: 280.0 KB ( 286720 bytes )

Nombre: xkrtxopie.exe

Tipo: DOS EXE

Detecciones: 28 / 46

Fecha de análisis: 2013-05-06 13:27:42 UTC ( hace 0 minutos )



0 2 Más detalles ?Análisis ?File detail

?Información adicional ?Comentarios ?Votos

Antivirus Resultado Actualización

Agnitum Trojan.DR.Agent!i/UYT9sT4+E 20130505

AhnLab-V3 Dropper/Win32.Agent 20130506

AntiVir TR/Drop.Agent.hkch 20130506

Antiy-AVL ? 20130506

Avast ? 20130506

AVG SHeur4.BHGJ 20130506

BitDefender Trojan.Generic.9018710 20130506

ByteHero ? 20130425

CAT-QuickHeal ? 20130506

ClamAV ? 20130506

Commtouch W32/Trojan.NYWF-7106 20130506

Comodo TrojWare.Win32.Trojan.Agent.Gen 20130506

DrWeb Trojan.PWS.Siggen1.1437 20130506

Emsisoft Trojan.Win32.Agent.AMN (A) 20130506

eSafe ? 20130501

ESET-NOD32 a variant of Win32/Kryptik.AZUM 20130506

F-Prot ? 20130506

F-Secure Trojan.Generic.9018710 20130506

Fortinet W32/Agent.HKCH!tr 20130506

GData Trojan.Generic.9018710 20130506

Ikarus Trojan-Dropper.Win32.Agent 20130506

Jiangmin ? 20130506

K7AntiVirus ? 20130503

K7GW ? 20130503

Kaspersky Trojan-Dropper.Win32.Agent.hkch 20130506

Kingsoft ? 20130506

Malwarebytes Trojan.Agent 20130506

McAfee Artemis!C1C917FEAB6C 20130506

McAfee-GW-Edition Artemis!C1C917FEAB6C 20130506

Microsoft ? 20130506

MicroWorld-eScan Trojan.Generic.9018710 20130506

NANO-Antivirus Virus.Win32.Gen.ccmw 20130506

Norman Troj_Generic.KUQBA 20130506

nProtect Trojan.Generic.9018710 20130506

Panda Trj/OCJ.E 20130506

PCTools ? 20130506

Sophos ? 20130506

SUPERAntiSpyware ? 20130506

Symantec WS.Reputation.1 20130506

TheHacker ? 20130505

TotalDefense ? 20130503

TrendMicro TROJ_SPNR.14E413 20130506

TrendMicro-HouseCall TROJ_SPNR.14E413 20130506

VBA32 Heur.Trojan.Hlux 20130506

VIPRE Trojan.Win32.Generic!BT 20130506

ViRobot ? 20130506



A partir del ELISTARA 27.61 de hoy, se ha potenciado su detección por acción directa, detectando las claves de lanzamiento, siempre y cuando se esté operando en MODO SEGURO.





Dicha versión del ELISTARA 27.61 que lo detecta y elimina, estará disponible en neustra web a partir de las 19 h CEST de hoy



saludos



ms, 6-5-2013





NOTA:



añade clave detras del nombre de la carpeta de marras (oculta con atributos +s +h), lo que le da propiedades espèciales, por ejemplo "%Archivos de Programa%\Common

Files\894fy894yt98.{2227A280-3AEA-1069-A2DE-08002B30309D}\xkrtxopie.exe"



Con ello Mientras esté activo, se convierte en una carpeta con propiedades de la carpeta de "Impresoras" cuyo contenido no es visible.



REPETIMOS : ES MUY IMPORTANTE ARRANCAR EN MODO SEGURO PARA PODER CONTROLARLO !!!