Como ya hemos dicho en anteriores analisis de variantes de este malware, es un ROOTKIT que dificulta mucho su deteccion y eliminacion al tener como caracteristicas principales:
- Queda residente. (proceso activo "EXPLORER.EXE")
- Oculta ficheros del sistema.
- Intercepta la aplicacion "rstrui.exe". (No se puede restaurar a un punto anterior)
- El EXE de nombre variable en cada infección
- Mientras este activo, no permite el acceso ni a la carpeta en la que
esta ubicado ni a las entradas del registro.
- Mientras este activo, el O4 visualiza: "jhgvy76765guhb"="\Windows\Explorer.exe"
Pero ademas en este caso no se puede detectar heuristicamente al ser variable su ubicación, su nombre, el valor de la clave, etc, por lo que solo si se le conoce como es el caso, se podrá detectar y eliminar con el ElistarA, simepre y ciuando se haya arrancado EN MODO SEGURO, pues sino no habría acceso a dicho fichero ni a la carpeta donde está ubicado, ni a las claves de registro que lo lanzan.
El preanalisis de viristotal ofrece este informe:
MD5 60a12a51207703968b48f678a63a0f5a
SHA1 43859ba00a1b3d82cf3233dc55c33e2be9801d39
File size 196.0 KB ( 200704 bytes )
SHA256: 278dc9b92289b4cee075e9977a0cd2dd0aef049a8b0badf2742cc784db61394c
Nombre: dota1.exe
Detecciones: 22 / 49
Fecha de análisis: 2014-01-30 15:11:46 UTC ( hace 1 hora, 25 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Trojan.GenericKD.1523096 20140130
Baidu-International Trojan.Win32.Inject.Av 20140130
BitDefender Trojan.GenericKD.1523096 20140130
Bkav HW32.CDB.Add0 20140125
CMC Heur.Win32.Veebee.1!O 20140122
Comodo UnclassifiedMalware 20140130
ESET-NOD32 a variant of Win32/Injector.AWOK 20140130
Emsisoft Trojan.GenericKD.1523096 (B) 20140130
F-Secure Trojan.GenericKD.1523096 20140130
Fortinet W32/VBKryptik.DG!tr 20140130
GData Trojan.GenericKD.1523096 20140130
K7AntiVirus Riskware ( 0040eff71 ) 20140130
K7GW Riskware ( 0040eff71 ) 20140130
Kaspersky Trojan.Win32.Inject.hjmx 20140130
Malwarebytes Trojan.Cryptor.VB 20140130
McAfee PWSZbot-FLW!60A12A512077 20140130
McAfee-GW-Edition PWSZbot-FLW!60A12A512077 20140130
MicroWorld-eScan Trojan.GenericKD.1523096 20140130
Panda Suspicious file 20140130
Rising PE:Trojan.VBInject!1.6546 20140130
Sophos Mal/Generic-S 20140130
TrendMicro-HouseCall TROJ_GEN.F47V0129 20140130
Dicha version del ElistarA 29.26 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 30-1-2014
- Queda residente. (proceso activo "EXPLORER.EXE")
- Oculta ficheros del sistema.
- Intercepta la aplicacion "rstrui.exe". (No se puede restaurar a un punto anterior)
- El EXE de nombre variable en cada infección
- Mientras este activo, no permite el acceso ni a la carpeta en la que
esta ubicado ni a las entradas del registro.
- Mientras este activo, el O4 visualiza: "jhgvy76765guhb"="\Windows\Explorer.exe"
Pero ademas en este caso no se puede detectar heuristicamente al ser variable su ubicación, su nombre, el valor de la clave, etc, por lo que solo si se le conoce como es el caso, se podrá detectar y eliminar con el ElistarA, simepre y ciuando se haya arrancado EN MODO SEGURO, pues sino no habría acceso a dicho fichero ni a la carpeta donde está ubicado, ni a las claves de registro que lo lanzan.
El preanalisis de viristotal ofrece este informe:
MD5 60a12a51207703968b48f678a63a0f5a
SHA1 43859ba00a1b3d82cf3233dc55c33e2be9801d39
File size 196.0 KB ( 200704 bytes )
SHA256: 278dc9b92289b4cee075e9977a0cd2dd0aef049a8b0badf2742cc784db61394c
Nombre: dota1.exe
Detecciones: 22 / 49
Fecha de análisis: 2014-01-30 15:11:46 UTC ( hace 1 hora, 25 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Trojan.GenericKD.1523096 20140130
Baidu-International Trojan.Win32.Inject.Av 20140130
BitDefender Trojan.GenericKD.1523096 20140130
Bkav HW32.CDB.Add0 20140125
CMC Heur.Win32.Veebee.1!O 20140122
Comodo UnclassifiedMalware 20140130
ESET-NOD32 a variant of Win32/Injector.AWOK 20140130
Emsisoft Trojan.GenericKD.1523096 (B) 20140130
F-Secure Trojan.GenericKD.1523096 20140130
Fortinet W32/VBKryptik.DG!tr 20140130
GData Trojan.GenericKD.1523096 20140130
K7AntiVirus Riskware ( 0040eff71 ) 20140130
K7GW Riskware ( 0040eff71 ) 20140130
Kaspersky Trojan.Win32.Inject.hjmx 20140130
Malwarebytes Trojan.Cryptor.VB 20140130
McAfee PWSZbot-FLW!60A12A512077 20140130
McAfee-GW-Edition PWSZbot-FLW!60A12A512077 20140130
MicroWorld-eScan Trojan.GenericKD.1523096 20140130
Panda Suspicious file 20140130
Rising PE:Trojan.VBInject!1.6546 20140130
Sophos Mal/Generic-S 20140130
TrendMicro-HouseCall TROJ_GEN.F47V0129 20140130
Dicha version del ElistarA 29.26 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 30-1-2014