NUEVA VARIANTE DE GUSANO INFECTOR SWISYN QUE PASAMOS A CONTROLAR CON ELISTARA

---

Otro sofisticado virus, que además de gusano, es infector de EXE y se propaga tambien por pendrive, lo pasamos a controlar a partir del ELISTARA 40.11 de hoy



Esta nueva variante realiza los siguientes procesos:



- Queda residente (2 procesos activos)

- Oculta ficheros del sistema.

- Desactiva el Servicio del Cortafuegos de Windows.

- Infecta EXEs tambien de las Unidades de PenDrive y de Disquette.



Con cualquier EXE contenido en una unidad, se autocopia con su

mismo nombre añadiendole temporalmente una coma ("%nombre%.exe,").



El EXE anfitrion lo añade al final de su código (MALWARE + EXE anfitrion)



Luego elimina el EXE anfitrion y se renombra ("%nombre%.exe")

quedando con el mismo nombre e icono que el EXE anfitrion.



Al Ejecutar cualquiera de estos Ficheros infectados, primero se

ejecuta el MALWARE, luego se extrae y lanza el EXE anfitrion

("%nombre%.exe " +s+h -> el espacio en blanco despues del exe, es un Alt255).



Conviene arrancar en MODO SEGURO para lanzar el ELISTARA y que pueda corregir lo indicado.





El preanalisis de virustotal ofrece el siguiente informe>



https://www.virustotal.com/es/file/a2d06876dbd73d47cd577e1a769139b64dab3d84d3107f4b72175a35fe43adcc/analysis/1555497349/





Los ficheros EXE modificados serán renombrados a VXE , los cuales podrán ser restaurados por los originales o copia de seguridad, lo cual podrá verse en el informe del ELISTARA que genera en C:\infosat.txt



Como comentario cabe resaltar lo que ya indicamos de que cuando se ejecuta un fichero con el virus en memoria, crea una copia del fichero añadiendo un ALT255 al final de la extensión:



("%nombre%.exe " +s+h - el espacio final es un Alt255).





Algo parecido como lo que hacía el que ya comentamos recientemente que identificamos como W32.NESHTA, que ya controlamos con el actual ELISTARA.



saludos



ms, 17-4-2019