NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA

www.satinfo.es

Anterior

 

 

Nueva variante del virus Palevo (Trojan.Backdoor.Inject.JA)

 

Nombre de virus: Trojan.Backdoor.Inject.JA
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
por Messenger
Activación: Por ejecución de fichero adjunto 
Detección: 5564
Motor necesario: 
McAfee+Artemis ó McAfee-GW-Edition
Infección actual:
Inicial (Inicial, Media, Elevada)

 

Características

Una nueva variante del troyano PALEVO, pero mucho mas sofisticada que la original, es descargada a través de un link que se recibe por MSN, como si fuera enviado por un contacto conocido, creando el fichero Adobe.Flash-Install.exe que evidentemente no tiene nada que ver con la instalación de Adobe.

Por lo visto su autor aprovecha los nombres de los ficheros de ADOBE, ya que, en la anterior versión, el nombre del fichero usado era Controlador-ActiveX Adobe-Corporation.exe, por lo que parece que tiene manía al tan conocido creador del ACROBAT

Se copia además con el nombre de GLPS.EXE en una subcarpeta de nombre variable dentro de la carpeta RECYCLER, desde la que se lanza en cada reinicio,

 

Detección

Actualmente aun no es controlado por la mayoría de los antivirus, sólo 7 de 40 (entre ellos los heurísticos de McAfee) según podemos ver en el análisis de VirusTotal:

File Adobe.Flash-Install.exe received on 03.25.2009 11:44:45 (CET)

Result: 7/40 (17.5%)

File size: 185550 bytes

MD5...: 390d33386ec45aa4d33501ba13984669

SHA1..: 99bde6f3d5aa566b1edd846450d8ad33f5395174

 

Eliminación

A partir de la versión actual del ELISTARA 18.29 ya se controla este nuevo engendro, que, si se propaga, se resistirá a ser eliminado.

En nuestras pruebas hemos visto que se regeneraba la clave y lo teníamos que eliminar paso a paso. En la exploración el ELISTARA pedirá dos reinicios, al reiniciar la primera vez, lanzará automáticamente el ELISTARA, tras cuya exploración dará un error del EXPLORER, con lo que nos quedaremos sin escritorio, por lo que habremos de reiniciar con un Ctrl+Alt+Sup y, en el siguiente reinicio, la exploración ya podrá eliminar el fichero. Al ser variable el nombre de la carpeta que crea dentro de RECYCLER, no podemos eliminarlo en acción directa, sino por exploración en cada paso, aunque con ello se tarde más.

Sea como fuera, al final lo logramos, pero gradualmente y en la exploración, ... cada vez son mas sofisticados y cuestan mas de eliminar.

 

Pulse aquí para descargar EliStarA

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   26 de Marzo de 2009


 

Anterior