Nueva variante de troyano MONTAGUE que oculta carpetas y crea fichero infectado con nombre similar e icono de carpeta

Hemos recibido como muestra para analizar Una nueva variante de un malware bastante singular:
Virus Profile: Montague!b5568a412674Threat Search
  
Date Discovered: 10/06/2009
Date Added: 10/06/2009
Origin: Unknown
Length: 86016
Type: Trojan
Subtype: -
DAT Required: 5641 fuente McAfee

Que deshabilita regedit, taskman, opciones de carpeta y oculta carpetas y, en su lugar, crea ficheros del mismo nombre con un espacio añadido al final, y con icono de carpeta, que al ejecutarlos pone el bicho en memoria y luego ejecuta el fichero original, que “solo” está oculto

Montague

(Fijarse en el espacio en blanco entre el final del nombre y el punto de la extensión, ademas de lo poco usual de una carpeta con extensión…)

Afortunadamente vemos que está controlado por casi todos los antivirus, razón por la que no nos había llegado muestra para analizar:

 Virustotal is a service that analyzes suspicious files and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information…

File RECYCLER_.exe received on 2009.10.27 11:10:18 (UTC)
Current status: finished

Result: 37/40 (92.50%)
 Compact Print results  Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.27 -
AhnLab-V3 5.0.0.2 2009.10.26 Win-Trojan/Xema.variant
AntiVir 7.9.1.44 2009.10.27 TR/VB.dnz
Antiy-AVL 2.0.3.7 2009.10.27 Backdoor/Win32.Agent.gen
Authentium 5.1.2.4 2009.10.27 W32/Backdoor2.ZTN
Avast 4.8.1351.0 2009.10.26 Win32:VB-KTV
AVG 8.5.0.423 2009.10.27 BackDoor.Agent.RDK
BitDefender 7.2 2009.10.27 Trojan.Generic.2210288
CAT-QuickHeal 10.00 2009.10.27 Backdoor.Agent.alo
ClamAV 0.94.1 2009.10.27 Trojan.Agent-27037
Comodo 2745 2009.10.27 Backdoor.Win32.VB.~RAD
DrWeb 5.0.0.12182 2009.10.27 Trojan.Romeo
eSafe 7.0.17.0 2009.10.25 Win32.Agent.alo
eTrust-Vet 35.1.7085 2009.10.27 Win32/Moriogu.A
F-Prot 4.5.1.85 2009.10.26 W32/Backdoor2.ZTN
Fortinet 3.120.0.0 2009.10.26 W32/Agent.LO!tr.bdr
GData 19 2009.10.27 Trojan.Generic.2210288
Ikarus T3.1.1.72.0 2009.10.27 -
Jiangmin 11.0.800 2009.10.26 Backdoor/Agent.cbbo
K7AntiVirus 7.10.879 2009.10.24 Backdoor.Win32.Agent
Kaspersky 7.0.0.125 2009.10.27 Backdoor.Win32.Agent.alo
McAfee 5783 2009.10.26 Montague
McAfee+Artemis 5783 2009.10.26 Montague
McAfee-GW-Edition 6.8.5 2009.10.27 Trojan.VB.dnz
Microsoft 1.5202 2009.10.27 Worm:Win32/Moriogu.A
NOD32 4547 2009.10.27 Win32/VB.NDU
Norman 6.03.02 2009.10.26 W32/Agent.CGTO
nProtect 2009.1.8.0 2009.10.27 Backdoor/W32.Agent.86016.G
Panda 10.0.2.2 2009.10.27 Bck/Agent.LRL
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.27 Medium Risk Malware
Rising 21.53.13.00 2009.10.27 Backdoor.Agent.ijf
Sophos 4.46.0 2009.10.27 W32/VBAuto-Gen
Sunbelt 3.2.1858.2 2009.10.26 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.27 W32.SillyFDC
TheHacker 6.5.0.2.054 2009.10.26 W32/Montague.gen
TrendMicro 8.950.0.1094 2009.10.27 WORM_VB.FUP
VBA32 3.12.10.11 2009.10.26 Backdoor.Win32.Agent.alo
ViRobot 2009.10.27.2007 2009.10.27 Backdoor.Win32.Agent.86016.E
VirusBuster 4.6.5.0 2009.10.26 Backdoor.Agent.FUKS
Additional information
File size: 86016 bytes
MD5   : 7d1ba1b805428ef68c6b2bcb687e958d
SHA1  : 3202b09d8514f7654a65f8f29e14fba681c5632e
Y desde luego, mejor no pillarlo, porque si por accidente, por tener desactivado el antivirus residente, o desactualizado o no tenerlo ni siquiera instalado en la máquina que se lance… deja el ordenador “bastante” maltrecho al no poder configurar el ver ficheros ocultos ni ejecutar nada de lo que intercepta, como el administrador de tareas o el regedit…

A partir del ELISTARA 19.55 de hoy pasaremos a controlarlo y elimnarlo

saludos

ms, 27-10-2009

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.