Ayer informabamos de la detección de una nueva variante que utilizaba icono de carpeta para ser ejecutado involuntariamente, si no se tiene configurado windows para que muestre las extensiones de los ficheros, el cual ya pasamos a controlar como AUTORUN.DQ , pero es que hoy nos llegan otros dos que utilizan la misma argucia, los cuales pasamos a controlar a partir del ELISTARA de hoy, 18.92, pero hacemos especial mención de uno de ellos, el AUTORUN.O , por su picaresca de crear copias de sí mismo con diferentes nombres, usados por el sistema de Windows, además de crear dos procesos activos que vigilan su presencia y los regeneran si uno de ellos es eliminado:

Aparte, detiene el proceso del REGEDIT, e instala en el HOSTS redireccionbes de las URL de las principales casas antivirus para que no se pueda acceder a ellas:

127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 pandasoftware.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 virustotal.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 http://www.grisoft.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 http://www.microsoft.com
127.0.0.1 http://www.moneybookers.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 http://www.nai.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 http://www.pandasoftware.com
127.0.0.1 http://www.sophos.com
127.0.0.1 http://www.symantec.com
127.0.0.1 http://www.trendmicro.com
127.0.0.1 http://www.virustotal.com
127.0.0.1 u20.eset.com
127.0.0.1 u21.eset.com
127.0.0.1 u22.eset.com
127.0.0.1 u23.eset.com
127.0.0.1 u24.eset.com
127.0.0.1 89.202.157.135
127.0.0.1 89.202.157.136
127.0.0.1 89.202.157.137
127.0.0.1 89.202.157.138
127.0.0.1 89.202.157.139
127.0.0.1 u30.eset.com
127.0.0.1 u31.eset.com
127.0.0.1 u32.eset.com
127.0.0.1 u33.eset.com
127.0.0.1 u34.eset.com
127.0.0.1 u35.eset.com
127.0.0.1 u36.eset.com
127.0.0.1 u37.eset.com
127.0.0.1 u38.eset.com
127.0.0.1 u39.eset.com
127.0.0.1 u40.eset.com
127.0.0.1 u41.eset.com
127.0.0.1 u42.eset.com
127.0.0.1 u43.eset.com
127.0.0.1 u44.eset.com
127.0.0.1 u45.eset.com
127.0.0.1 u46.eset.com
127.0.0.1 u47.eset.com
127.0.0.1 u48.eset.com
127.0.0.1 u49.eset.com

Los ficheros que crea con su código vírico son los siguientes:

%WinDir% Regedit SVCHOST.EXE
%WinDir% SYSTEM.EXE
C: Autorun.inf
C: Setup.exe
C: Mi Musica.exe
C: Mis Documentos.exe
C: Mis Fotos.exe
C: Mis Imagenes.exe

Ni que decir tiene que la “Ingeniería social” de que las “carpetas” Mi Musica, Mis Documentos, Mis Fotos y Mis Imagenes, lancen el virus al pulsar doble click sobre ellas (son los ficheros, claro), consigue su propósito !

E instala una clave para que se lance en cada reinicio:

“Svchost”=”C:\Windows\regedit\svchost.exe”

Por supuesto que el ELISTARA corrige dichas entradas, restaura las claves modificadas y elimina los malwares creados por dicha variante,

Aparte este troyano infecta pendrives con el mismo, logrando propagar dicho malware a otros pendrives y ordenadores no protegidos con el ELIPEN.

Además de aconsejar configurar windows para que muestre las extensiones de los ficheros y para no ocultar los ficheros Hidden y de Sistema, recordamos la conveniencia de vacunar ordenadores y pendrives con el ELIPEN, para evitar la propagación de los virus de pendrive, tan abundantes y de moda hoy en día.

FUENTE