Otro de los sofisticados Rootkit que ademas falsea su informacion, aparentando ser de TREND MICRO, pasa a ser controlado a partir del ElistarA 29.54 de hoy, siempre que se arranque en MODO SEGURO, debido a sus tecnicas ROOTKIT
Infecta pendrives creando AUTORUN.INF y crea lins con los nombre de los ficheros y carpetas que oculta
- Queda residente.
- Con técnicas RootKit (oculta claves del registro, carpeta y fichero)
- Infecta PenDrives. Además del tipico AutoRun.inf oculta EXEs y carpetas
(+s+h) creando links con sus mismos nombres.
Contenido del autorun.inf
open=%nombre%_a.exe
El preanalisis de virustotal ofrece el siguiente informe:
MD5 2736acd7e8c91a459089f2eeda7c96bc
SHA1 be75b231d146641700f55642d9e22eb627c8c537
Tamaño del fichero 87.2 KB ( 89327 bytes )
SHA256: ff22505a7f2f100c71402c6a240cb9ade7626fd990d3e43eec4bc6a3e8f4c4e7
Nombre: 884DD6F.EXE.Muestra EliStartPage v29.53
Detecciones: 48 / 50
Fecha de análisis: 2014-03-10 12:17:27 UTC ( hace 0 minutos )
0 2
Antivirus Resultado Actualización
AVG Generic30.BKHC 20140309
Ad-Aware Trojan.Generic.8556832 20140310
Agnitum Trojan.Kryptik!F2WDjrNi90k 20140309
AhnLab-V3 Trojan/Win32.Inject 20140310
AntiVir TR/Crypt.ZPACK.Gen5 20140310
Antiy-AVL Worm/Win32.Palevo 20140310
Avast Win32:MalPack-E 20140310
Baidu-International Worm.Win32.Palevo.aD 20140310
BitDefender Trojan.Generic.8556832 20140310
Bkav W32.MassiveUsbJ1.Worm 20140310
CAT-QuickHeal Trojan.Rimecud.AA 20140310
CMC Trojan.Win32.Rimecud.2!O 20140307
Commtouch W32/Palevo.MIBL-6006 20140310
Comodo TrojWare.Win32.Kryptik.AOFK 20140310
DrWeb Win32.HLLW.Autoruner1.29757 20140310
ESET-NOD32 Win32/AutoRun.Agent.AGC 20140310
Emsisoft Trojan.Generic.8556832 (B) 20140310
F-Prot W32/Palevo.ID 20140310
F-Secure Trojan.Generic.8556832 20140310
Fortinet W32/Kryptik.AOUP 20140310
GData Trojan.Generic.8556832 20140310
Ikarus Virus.Win32.Cryptor 20140310
Jiangmin Pack.Mal.AntiVM.a 20140310
K7AntiVirus Trojan ( 00401e821 ) 20140307
K7GW Trojan ( 00401e821 ) 20140307
Kaspersky P2P-Worm.Win32.Palevo.fyai 20140310
Kingsoft Win32.Troj.Undef.(kcloud) 20140310
Malwarebytes Trojan.Graftor 20140310
McAfee W32/Rimecud.gen.dq 20140310
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.K 20140310
MicroWorld-eScan Trojan.Generic.8556832 20140310
Microsoft Worm:Win32/Rombrast.gen!A 20140310
NANO-Antivirus Trojan.Win32.Autoruner1.bchtoi 20140310
Norman Suspicious_Gen4.BNIYC 20140310
Panda W32/Rimecud.AV.worm 20140310
Qihoo-360 HEUR/Malware.QVM07.Gen 20140310
Rising PE:Trojan.Win32.Generic.13F2E478!334685304 20140310
SUPERAntiSpyware Trojan.Agent/Gen-Inject 20140309
Sophos Mal/Rimecud-M 20140310
Symantec W32.Pilleuz!gen37 20140310
TheHacker Trojan/Kryptik.aoup 20140309
TotalDefense Win32/SillyAutorun.FSV 20140310
TrendMicro TROJ_SPNR.29L412 20140310
TrendMicro-HouseCall TROJ_SPNR.29L412 20140310
VBA32 BScope.Malware-Cryptor.2712 20140310
VIPRE Trojan.Win32.Generic!BT 20140310
ViRobot Worm.Win32.A.P2P-Palevo.89327 20140310
nProtect Worm/W32.Palevo.89327 20140310
Dicha version del ElistarA 29.54 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 10-3-2014
Infecta pendrives creando AUTORUN.INF y crea lins con los nombre de los ficheros y carpetas que oculta
- Queda residente.
- Con técnicas RootKit (oculta claves del registro, carpeta y fichero)
- Infecta PenDrives. Además del tipico AutoRun.inf oculta EXEs y carpetas
(+s+h) creando links con sus mismos nombres.
Contenido del autorun.inf
open=%nombre%_a.exe
El preanalisis de virustotal ofrece el siguiente informe:
MD5 2736acd7e8c91a459089f2eeda7c96bc
SHA1 be75b231d146641700f55642d9e22eb627c8c537
Tamaño del fichero 87.2 KB ( 89327 bytes )
SHA256: ff22505a7f2f100c71402c6a240cb9ade7626fd990d3e43eec4bc6a3e8f4c4e7
Nombre: 884DD6F.EXE.Muestra EliStartPage v29.53
Detecciones: 48 / 50
Fecha de análisis: 2014-03-10 12:17:27 UTC ( hace 0 minutos )
0 2
Antivirus Resultado Actualización
AVG Generic30.BKHC 20140309
Ad-Aware Trojan.Generic.8556832 20140310
Agnitum Trojan.Kryptik!F2WDjrNi90k 20140309
AhnLab-V3 Trojan/Win32.Inject 20140310
AntiVir TR/Crypt.ZPACK.Gen5 20140310
Antiy-AVL Worm/Win32.Palevo 20140310
Avast Win32:MalPack-E 20140310
Baidu-International Worm.Win32.Palevo.aD 20140310
BitDefender Trojan.Generic.8556832 20140310
Bkav W32.MassiveUsbJ1.Worm 20140310
CAT-QuickHeal Trojan.Rimecud.AA 20140310
CMC Trojan.Win32.Rimecud.2!O 20140307
Commtouch W32/Palevo.MIBL-6006 20140310
Comodo TrojWare.Win32.Kryptik.AOFK 20140310
DrWeb Win32.HLLW.Autoruner1.29757 20140310
ESET-NOD32 Win32/AutoRun.Agent.AGC 20140310
Emsisoft Trojan.Generic.8556832 (B) 20140310
F-Prot W32/Palevo.ID 20140310
F-Secure Trojan.Generic.8556832 20140310
Fortinet W32/Kryptik.AOUP 20140310
GData Trojan.Generic.8556832 20140310
Ikarus Virus.Win32.Cryptor 20140310
Jiangmin Pack.Mal.AntiVM.a 20140310
K7AntiVirus Trojan ( 00401e821 ) 20140307
K7GW Trojan ( 00401e821 ) 20140307
Kaspersky P2P-Worm.Win32.Palevo.fyai 20140310
Kingsoft Win32.Troj.Undef.(kcloud) 20140310
Malwarebytes Trojan.Graftor 20140310
McAfee W32/Rimecud.gen.dq 20140310
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.K 20140310
MicroWorld-eScan Trojan.Generic.8556832 20140310
Microsoft Worm:Win32/Rombrast.gen!A 20140310
NANO-Antivirus Trojan.Win32.Autoruner1.bchtoi 20140310
Norman Suspicious_Gen4.BNIYC 20140310
Panda W32/Rimecud.AV.worm 20140310
Qihoo-360 HEUR/Malware.QVM07.Gen 20140310
Rising PE:Trojan.Win32.Generic.13F2E478!334685304 20140310
SUPERAntiSpyware Trojan.Agent/Gen-Inject 20140309
Sophos Mal/Rimecud-M 20140310
Symantec W32.Pilleuz!gen37 20140310
TheHacker Trojan/Kryptik.aoup 20140309
TotalDefense Win32/SillyAutorun.FSV 20140310
TrendMicro TROJ_SPNR.29L412 20140310
TrendMicro-HouseCall TROJ_SPNR.29L412 20140310
VBA32 BScope.Malware-Cryptor.2712 20140310
VIPRE Trojan.Win32.Generic!BT 20140310
ViRobot Worm.Win32.A.P2P-Palevo.89327 20140310
nProtect Worm/W32.Palevo.89327 20140310
Dicha version del ElistarA 29.54 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 10-3-2014