Actualmente existe una nueva variante de troyano que se copia con diferentes nombres, y se oculta con el nombre de SVCHOST.EXE para que se confunda en las tareas activas del sistema, se empezó a detectar y controlar a partir de la nueva version del hoy del EliStarA.EXE 20.75
Actualmente solo es detectado por un 50 % de los antivirus (VirusTotal), y Kaspersky, NOD32, Sophos o Symantec aun no lo detectan:
Kaspersky 7.0.0.125 2010.04.15 -
McAfee 5.400.0.1158 2010.04.15 Generic.dx!qfj
McAfee-GW-Edition 6.8.5 2010.04.15 Heuristic.LooksLike.Trojan.PSW.Zapchast.H
Microsoft 1.5605 2010.04.15 -
NOD32 5030 2010.04.15 -
Sophos 4.52.0 2010.04.15 -
Sunbelt 6179 2010.04.15 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.04.15 -
File size: 150830 bytes
MD5...: 1fb1c0e38e92e2536fb82cc9e73c5038
SHA1..: 8117c39eb8a4b26f5953bd62542541340fa9c377
Principales caracteristicas :
- Queda residente.
- Deshabilita el Administrador de Tareas, las Opciones de Carpeta y la Restauración del Sistema.
- Como icono tiene el de una Carpeta.
- Como Label de las unidades pone ":. Nelly .:"
- Cambia el formato de la hora "HH:mm ::"
y crea los siguientes ficheros
%WinDir%\ Fonts\ SVCHOST.EXE
%WinDir%\ Tasks\ At1.job
%WinDir%\ Temp\ BT6052.BAT
El EXE es una compilacion del BAT, donde se ve todas sus acciones.
