UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUXmsc hotline sat Monday, May 6, 2013 Nos hemos encontrado con una especie de Rootkit, descargado por FAKE WRITE, que al ejecutarse - Queda residente. (utilizando como proceso activo el"WUAUCLT.EXE") - Oculta ficheros del sistema. - Intercepta algunas aplicaciones como "hijackthis.exe", "rstrui.exe", "spybotsd.exe", etc - El Nombre de la Carpeta especial donde se esconde, asi como el Fichero y el Valor del Registro varian según sistema. Mientras esté activo, dicha carpeta especial, tiene propiedades de la carpeta de "Impresoras", con contenido no visible. Mientras está en uso, no se puede eliminar ni la Carpeta ni las claves del registro de lanzamiento. Por ello es muy importante para su detección y eliminación, arrancar en MODO SEGURO, y en dicho modo, lanzar el ELISTARA. El preanalisis de virustotal, nos muestra este informe: SHA256: 56922e73930b1c2a79dc422bf3b7d23cf8e5683c7022b5723d2dd7f56cb7811a SHA1: 42bb4719528d9138e84d1fe560770e33f335419e MD5: c1c917feab6c7a4340c692ffc1793fae Tamaño: 280.0 KB ( 286720 bytes ) Nombre: xkrtxopie.exe Tipo: DOS EXE Detecciones: 28 / 46 Fecha de análisis: 2013-05-06 13:27:42 UTC ( hace 0 minutos ) 0 2 Más detalles ?Análisis ?File detail ?Información adicional ?Comentarios ?Votos Antivirus Resultado Actualización Agnitum Trojan.DR.Agent!i/UYT9sT4+E 20130505 AhnLab-V3 Dropper/Win32.Agent 20130506 AntiVir TR/Drop.Agent.hkch 20130506 Antiy-AVL ? 20130506 Avast ? 20130506 AVG SHeur4.BHGJ 20130506 BitDefender Trojan.Generic.9018710 20130506 ByteHero ? 20130425 CAT-QuickHeal ? 20130506 ClamAV ? 20130506 Commtouch W32/Trojan.NYWF-7106 20130506 Comodo TrojWare.Win32.Trojan.Agent.Gen 20130506 DrWeb Trojan.PWS.Siggen1.1437 20130506 Emsisoft Trojan.Win32.Agent.AMN (A) 20130506 eSafe ? 20130501 ESET-NOD32 a variant of Win32/Kryptik.AZUM 20130506 F-Prot ? 20130506 F-Secure Trojan.Generic.9018710 20130506 Fortinet W32/Agent.HKCH!tr 20130506 GData Trojan.Generic.9018710 20130506 Ikarus Trojan-Dropper.Win32.Agent 20130506 Jiangmin ? 20130506 K7AntiVirus ? 20130503 K7GW ? 20130503 Kaspersky Trojan-Dropper.Win32.Agent.hkch 20130506 Kingsoft ? 20130506 Malwarebytes Trojan.Agent 20130506 McAfee Artemis!C1C917FEAB6C 20130506 McAfee-GW-Edition Artemis!C1C917FEAB6C 20130506 Microsoft ? 20130506 MicroWorld-eScan Trojan.Generic.9018710 20130506 NANO-Antivirus Virus.Win32.Gen.ccmw 20130506 Norman Troj_Generic.KUQBA 20130506 nProtect Trojan.Generic.9018710 20130506 Panda Trj/OCJ.E 20130506 PCTools ? 20130506 Sophos ? 20130506 SUPERAntiSpyware ? 20130506 Symantec WS.Reputation.1 20130506 TheHacker ? 20130505 TotalDefense ? 20130503 TrendMicro TROJ_SPNR.14E413 20130506 TrendMicro-HouseCall TROJ_SPNR.14E413 20130506 VBA32 Heur.Trojan.Hlux 20130506 VIPRE Trojan.Win32.Generic!BT 20130506 ViRobot ? 20130506 A partir del ELISTARA 27.61 de hoy, se ha potenciado su detección por acción directa, detectando las claves de lanzamiento, siempre y cuando se esté operando en MODO SEGURO. Dicha versión del ELISTARA 27.61 que lo detecta y elimina, estará disponible en neustra web a partir de las 19 h CEST de hoy saludos ms, 6-5-2013 NOTA: añade clave detras del nombre de la carpeta de marras (oculta con atributos +s +h), lo que le da propiedades espèciales, por ejemplo "%Archivos de Programa%\Common Files\894fy894yt98.{2227A280-3AEA-1069-A2DE-08002B30309D}\xkrtxopie.exe" Con ello Mientras esté activo, se convierte en una carpeta con propiedades de la carpeta de "Impresoras" cuyo contenido no es visible. REPETIMOS : ES MUY IMPORTANTE ARRANCAR EN MODO SEGURO PARA PODER CONTROLARLO !!! |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |