Una nueva y temible variante de esta familia de troyanos, descargado por un downloader, cambia su actuación que hasta ahora afectaba unicamente las claves de:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
añadiéndoles permisos especiales a “Todos” para que no puedan ser modificadas y quitando permisos a los ficheros que lanzan, de manera que no se puedan ni tocar, pero ahora esta nueva variante lo hace sobre todas las claves O4 , SOBREESCRIBIENDO A CERO BYTES los ficheros por ellas lanzados:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
A partir del ELISTARA 29.66, pasamos a controlar este nueva variante del malware, si bien se deberá añadir otro proceso como el ELRSTRUI, para recuperar los ficheros y claves modificadas, por las existentes en el RESTORE de un punto anterior, si se tiene activo el RESTAURAR SISTEMA, claro, y se dispone de un punto de restauración reciente, anterior a la infección.
El preanálisis de Virustotal ofrece este informe:
MD5 41c641de2189a7cb3ba501a1af26cec9
SHA1 b37001e8fca34dce2aa15aa948c2d6e142929353
Tamaño del fichero 242.0 KB ( 247808 bytes )
SHA256: 0d09632ce63a52b2b2e3602fd8b01664e45e26964c7b37696e4c6cbf238816c6
Nombre: nt32.exe
Detecciones: 5 / 51
Fecha de análisis: 2014-03-26 10:18:25 UTC ( hace 0 minutos )
| Antivirus | Resultado | Actualización |
| DrWeb | Trojan.PWS.Panda.6639 | 20140326 |
| ESET-NOD32 | a variant of MSIL/Injector.DEZ | 20140326 |
| McAfee | Artemis!41C641DE2189 | 20140326 |
| McAfee-GW-Edition | Artemis!41C641DE2189 | 20140326 |
| Sophos | Mal/Generic-S | 20140326 |
Siempre es importante prevenir e impedir la entrada de los nuevos malwares como este, como sea que el VirusScan de McAfee ya lo detecta heuristicamente, conviene configurar la sensibilidad heuristica a nivel ALTO, lo cual se logra accediendo a la Consola de VirusScan -> Analizador en Tiempo Real -> En la sección “Artemis” “Nivel de sensibilidad” configurarlo en ALTO.
También es muy importante tener instalado el SITEADVISOR de McAfee (protector de acceso a webs) , recomendamos tenerlo en cuenta para controlar, no solo los malwares conocidos, sino, además, variantes de los mismos que, con lo indicado, se pueda evitar su entrada.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 31 de Marzo de 2014