Una nueva variante de este rootkit, que solo es detectable si no está en uso, nos lo ha descargado el downloader SOUNDER, y abre puertos a multitud de webs sin que el usuario se entere, siendo necesario eliminar o renombrar este .SYS a .VIR , para que en el siguiente reinicio no pueda ponerse en uso, pero para ello se requiere arrancar con otro medio (no con el disco duro infectado, ni en modo seguro ...)
Ya documentamos otra variante parecida de este mismo rootkit en
http://www.satinfo.es/blog/2014/nueva-v ... deteccion/
A partir del ElistarA 29.65 de hoy pasamos a controlarlo, si no está en uso.
El preanalisis de viristotal ofrece este informe:
MD5 e33f2db4c4bcf6d92db4dc3db8f16e21
SHA1 51bfae13c1355510af42a63fb67e31e49cd9e72b
Tamaño del fichero 39.0 KB ( 39936 bytes )
SHA256: f05c38f0e850a4abc366eae86654074c9ddb80925f2cf8c0ebf8a98b0474479d
Nombre: nethost(02) sys
Detecciones: 37 / 50
Fecha de análisis: 2014-03-05 08:09:38 UTC ( hace 2 semanas, 6 días )
0 2
Antivirus Resultado Actualización
AVG BackDoor.Generic17.AGCA 20140304
Ad-Aware Trojan.GenericKDV.1125057 20140305
Agnitum Rootkit.BlackEnergy!IQV+NJ2mnaU 20140302
AntiVir TR/Rogue.1125057 20140305
Avast Win32:Rootkit-gen 20140305
Baidu-International Trojan.Win32.Rootkit.AJ 20140305
BitDefender Trojan.GenericKDV.1125057 20140305
Bkav W32.BeodeiLTAT.Trojan 20140304
CAT-QuickHeal Trojan.ZAccess.gen.cw4 20140305
Comodo UnclassifiedMalware 20140305
DrWeb Trojan.NtRootKit.16541 20140305
ESET-NOD32 Win32/Rootkit.BlackEnergy.AA 20140305
Emsisoft Trojan.GenericKDV.1125057 (B) 20140305
F-Secure Trojan.GenericKDV.1125057 20140305
Fortinet W32/ZAccess.DAK!tr 20140305
GData Trojan.GenericKDV.1125057 20140305
Ikarus Trojan.SuspectCRC 20140305
K7AntiVirus Riskware ( 0040eff71 ) 20140304
K7GW Riskware ( 0040eff71 ) 20140304
Kaspersky Rootkit.Win32.Agent.diom 20140305
Kingsoft Win32.Troj.GenericKDV.v.(kcloud) 20140305
Malwarebytes Trojan.Agent 20140305
McAfee RDN/Generic.dx!cqf 20140305
McAfee-GW-Edition RDN/Generic.dx!cqf 20140305
MicroWorld-eScan Trojan.GenericKDV.1125057 20140305
Norman Troj_Generic.NGEBA 20140305
Panda Trj/WLT.A 20140304
Qihoo-360 Win32/Trojan.4ea 20140305
Sophos Mal/Generic-S 20140305
Symantec Trojan Horse 20140305
TheHacker Trojan/BlackEnergy.aa 20140305
TotalDefense Win32/ZAccess.AFW 20140304
TrendMicro RTKT_AGENT.BIDL 20140305
TrendMicro-HouseCall RTKT_AGENT.BIDL 20140305
VIPRE Trojan.Win32.Generic!BT 20140305
ViRobot Trojan.Win32.U.RT-Agent.39936 20140305
nProtect Trojan.GenericKDV.1125057 20140304
El Sounder que lo descarga ya lo controlamos con el actual ElistarA, y tambien lo controlan los siguientes antivirus:
Ad-Aware Trojan.GenericKDV.1072119 20140325
Agnitum Trojan.Foreign!5BhvJ8H04o8 20140324
AhnLab-V3 Trojan/Win32.Foreign 20140324
AntiVir TR/Ransom.Foreign.emwe 20140325
Antiy-AVL Trojan/Win32.Foreign 20140324
Avast Win32:Cidox-BN 20140325
Baidu-International Trojan.Win32.Ransom.ap 20140325
BitDefender Trojan.GenericKDV.1072119 20140325
Bkav W32.Clod271.Trojan.e11d 20140324
Commtouch W32/Trojan.JFZJ-1248 20140325
Comodo UnclassifiedMalware 20140325
ESET-NOD32 Win32/TrojanDownloader.Wauchos.I 20140325
Emsisoft Trojan.GenericKDV.1072119 (B) 20140325
F-Secure Trojan.GenericKDV.1072119 20140325
Fortinet W32/Foreign.EMWE!tr 20140325
GData Trojan.GenericKDV.1072119 20140325
Ikarus Trojan.Win32.Loktrom 20140325
K7AntiVirus Riskware ( 0040eff71 ) 20140324
K7GW Backdoor ( 04c4ed2c1 ) 20140324
Kaspersky HEUR:Trojan.Win32.Generic 20140325
Kingsoft Win32.Troj.Undef.(kcloud) 20140325
Malwarebytes Spyware.Password 20140325
McAfee PWS-Zbot-FAXY!6433AC8915F7 20140325
McAfee-GW-Edition PWS-Zbot-FAXY!6433AC8915F7 20140325
MicroWorld-eScan Trojan.GenericKDV.1072119 20140325
Microsoft Worm:Win32/Gamarue.I 20140325
Norman Troj_Generic.MMGNQ 20140324
Panda Trj/Genetic.gen 20140324
Sophos Mal/EncPk-AKA 20140325
TrendMicro TROJ_SPNR.14G213 20140325
TrendMicro-HouseCall TROJ_SPNR.14G213 20140325
VBA32 BScope.Malware-Cryptor.Oop 20140324
VIPRE Trojan.Win32.Reveton.a (v) 20140325
nProtect Trojan/W32.Foreign.107520.I 20140324
con lo cual se evita su ejecucion y descarga del rootkit de autos !
Dicha version del ElistarA 29.65 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 25-3-2014
Ya documentamos otra variante parecida de este mismo rootkit en
http://www.satinfo.es/blog/2014/nueva-v ... deteccion/
A partir del ElistarA 29.65 de hoy pasamos a controlarlo, si no está en uso.
El preanalisis de viristotal ofrece este informe:
MD5 e33f2db4c4bcf6d92db4dc3db8f16e21
SHA1 51bfae13c1355510af42a63fb67e31e49cd9e72b
Tamaño del fichero 39.0 KB ( 39936 bytes )
SHA256: f05c38f0e850a4abc366eae86654074c9ddb80925f2cf8c0ebf8a98b0474479d
Nombre: nethost(02) sys
Detecciones: 37 / 50
Fecha de análisis: 2014-03-05 08:09:38 UTC ( hace 2 semanas, 6 días )
0 2
Antivirus Resultado Actualización
AVG BackDoor.Generic17.AGCA 20140304
Ad-Aware Trojan.GenericKDV.1125057 20140305
Agnitum Rootkit.BlackEnergy!IQV+NJ2mnaU 20140302
AntiVir TR/Rogue.1125057 20140305
Avast Win32:Rootkit-gen 20140305
Baidu-International Trojan.Win32.Rootkit.AJ 20140305
BitDefender Trojan.GenericKDV.1125057 20140305
Bkav W32.BeodeiLTAT.Trojan 20140304
CAT-QuickHeal Trojan.ZAccess.gen.cw4 20140305
Comodo UnclassifiedMalware 20140305
DrWeb Trojan.NtRootKit.16541 20140305
ESET-NOD32 Win32/Rootkit.BlackEnergy.AA 20140305
Emsisoft Trojan.GenericKDV.1125057 (B) 20140305
F-Secure Trojan.GenericKDV.1125057 20140305
Fortinet W32/ZAccess.DAK!tr 20140305
GData Trojan.GenericKDV.1125057 20140305
Ikarus Trojan.SuspectCRC 20140305
K7AntiVirus Riskware ( 0040eff71 ) 20140304
K7GW Riskware ( 0040eff71 ) 20140304
Kaspersky Rootkit.Win32.Agent.diom 20140305
Kingsoft Win32.Troj.GenericKDV.v.(kcloud) 20140305
Malwarebytes Trojan.Agent 20140305
McAfee RDN/Generic.dx!cqf 20140305
McAfee-GW-Edition RDN/Generic.dx!cqf 20140305
MicroWorld-eScan Trojan.GenericKDV.1125057 20140305
Norman Troj_Generic.NGEBA 20140305
Panda Trj/WLT.A 20140304
Qihoo-360 Win32/Trojan.4ea 20140305
Sophos Mal/Generic-S 20140305
Symantec Trojan Horse 20140305
TheHacker Trojan/BlackEnergy.aa 20140305
TotalDefense Win32/ZAccess.AFW 20140304
TrendMicro RTKT_AGENT.BIDL 20140305
TrendMicro-HouseCall RTKT_AGENT.BIDL 20140305
VIPRE Trojan.Win32.Generic!BT 20140305
ViRobot Trojan.Win32.U.RT-Agent.39936 20140305
nProtect Trojan.GenericKDV.1125057 20140304
El Sounder que lo descarga ya lo controlamos con el actual ElistarA, y tambien lo controlan los siguientes antivirus:
Ad-Aware Trojan.GenericKDV.1072119 20140325
Agnitum Trojan.Foreign!5BhvJ8H04o8 20140324
AhnLab-V3 Trojan/Win32.Foreign 20140324
AntiVir TR/Ransom.Foreign.emwe 20140325
Antiy-AVL Trojan/Win32.Foreign 20140324
Avast Win32:Cidox-BN 20140325
Baidu-International Trojan.Win32.Ransom.ap 20140325
BitDefender Trojan.GenericKDV.1072119 20140325
Bkav W32.Clod271.Trojan.e11d 20140324
Commtouch W32/Trojan.JFZJ-1248 20140325
Comodo UnclassifiedMalware 20140325
ESET-NOD32 Win32/TrojanDownloader.Wauchos.I 20140325
Emsisoft Trojan.GenericKDV.1072119 (B) 20140325
F-Secure Trojan.GenericKDV.1072119 20140325
Fortinet W32/Foreign.EMWE!tr 20140325
GData Trojan.GenericKDV.1072119 20140325
Ikarus Trojan.Win32.Loktrom 20140325
K7AntiVirus Riskware ( 0040eff71 ) 20140324
K7GW Backdoor ( 04c4ed2c1 ) 20140324
Kaspersky HEUR:Trojan.Win32.Generic 20140325
Kingsoft Win32.Troj.Undef.(kcloud) 20140325
Malwarebytes Spyware.Password 20140325
McAfee PWS-Zbot-FAXY!6433AC8915F7 20140325
McAfee-GW-Edition PWS-Zbot-FAXY!6433AC8915F7 20140325
MicroWorld-eScan Trojan.GenericKDV.1072119 20140325
Microsoft Worm:Win32/Gamarue.I 20140325
Norman Troj_Generic.MMGNQ 20140324
Panda Trj/Genetic.gen 20140324
Sophos Mal/EncPk-AKA 20140325
TrendMicro TROJ_SPNR.14G213 20140325
TrendMicro-HouseCall TROJ_SPNR.14G213 20140325
VBA32 BScope.Malware-Cryptor.Oop 20140324
VIPRE Trojan.Win32.Reveton.a (v) 20140325
nProtect Trojan/W32.Foreign.107520.I 20140324
con lo cual se evita su ejecucion y descarga del rootkit de autos !
Dicha version del ElistarA 29.65 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 25-3-2014