Nueva variante de trojan neurevt aun muy poco detectado por los actuales av (solo 4 de 49)

Otra descarga del downloader FakeWrite, pasa a ser controlada especificamente a partir del ElistarA 29.21 de hoy

Tras la descarga se autoejecuta y tras hacer lo programado, se autoborra

- Queda residente. (proceso activo "EXPLORER.EXE")
- Oculta ficheros del sistema.
- Intercepta la aplicacion "rstrui.exe".
- El EXE de nombre variable en cada infección
- Mientras este activo, no permite el acceso ni a la carpeta en la que
esta ubicado ni a las entradas del registro.
- Mientras este activo, el O4 visualiza: "svchost"="\Windows\Explorer.exe"

El preanalisis de virustotal ofrece el siguiente informe:


MD5 93896592c59424f9a533c9744efbf63f
SHA1 e6d32cf9bd7e17b000893621a8abf4868d1c353c
File size 196.0 KB ( 200704 bytes )
SHA256: 45e9d3be2335dc144a0a26b90f84274741d431b627716cc1d064313c0ff2eda6
Nombre: quhrwtqas.exe
Detecciones: 4 / 49
Fecha de análisis: 2014-01-23 13:42:58 UTC ( hace 0 minutos )

0 1


Antivirus Resultado Actualización
Avast Win32:VBCrypt-CTH 20140123
Bkav HW32.CDB.6f56 20140123
CMC Heur.Win32.Veebee.1!O 20140122
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20140123


Dicha version del ElistarA 29.21 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 23-1-2014