Descubrimiento en los Bagles: Ademas de todo lo ya conocido, esconde fichero infectado en los ZIP que encuentra en el disco duro !!!

Publicado el 9 noviembre 2009 ¬ 19:25 pmh.mscComentarios desactivados en Descubrimiento en los Bagles: Ademas de todo lo ya conocido, esconde fichero infectado en los ZIP que encuentra en el disco duro !!!
Sorpresa en las tecnicas usadas por el Bagle, ademas de crear Rootkit, modificar clave SAFEBOOT, corromper los antivirus, y generar los ficheros propios y acompañantes, vemos que en las ultimas versiones prepara propagar via eMule y esconde fichero infectado en los ZIP
 
No paramos de recibir diariamente nuevas muestras de variantes del BAGLE , FLEC006.EXE, HLDRRR.EXE, HIDR.EXE, WINUPGRO.EXE, que acostumbran a ser mas de lo mismo, generan el RootKit SROSA.SYS, M_HOOK.SYS, etc , con las diferencias propias entre ellos para no ser detectados por los antivirus, y otros ficheros acompañantes, asi como otros con numeros aleatorios pero lo nuevo descubierto hoy, es que esconde un fichero infectado con él mismo, dentro de los ficheros ZIP existentes que encuentra en el disco duro, y los copia en una carpeta de nombre crack, keygen o patch, copiandose como ejecutable con uno de estos nombres en dicha carpeta, que luego empaqueta en el ZIP junto con los demas componentes del ZIP

 

Así, aun despues de ser eliminado “totalmente”, incluido su RootKit,, aun queda vivo, aunque aletargado, dentro de cada ZIP, y cuando se desempaqueten, volverá a estar accesible e infeccioso, lo cual conviene saber para evitar la regeneracion a través del desempaquetamiento de los ZIP en cuestion.

 

 

Conviene decir que es de los troyanos que mas estamos recibiendo no controlados por los antivirus, y que el  ELIBAGLA está siendo la utilidad mas descargada de esta web,  detras del  ELISTARA.

QUIEN TENGA O HAYA TENIDO BAGLE, CUIDADO CON LOS ZIP, PUEDEN TENER BAGLE ENCERRADO

saludos

ms, 9-11-2009

 

ANEXO:

Ejemplo de muestra detectada por ELISTARA y solo controlada actualmentye por 8  (3 son de McAfee) de 40 antivirus del VirusTotal (20 %):

File 87828.EXE.Muestra_EliBagle_v13.11 received on 2009.11.09 17:57:19 (UTC)

Result: 8/40 (20%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.09 –
AhnLab-V3 5.0.0.2 2009.11.06 –
AntiVir 7.9.1.61 2009.11.09 –
Antiy-AVL 2.0.3.7 2009.11.09 –
Authentium 5.2.0.5 2009.11.09 W32/Damaged_File.gen!Eldorado
Avast 4.8.1351.0 2009.11.09 –
AVG 8.5.0.423 2009.11.09 –
BitDefender 7.2 2009.11.09 –
CAT-QuickHeal 10.00 2009.11.09 (Suspicious) – DNAScan
ClamAV 0.94.1 2009.11.09 –
Comodo 2898 2009.11.09 –
DrWeb 5.0.0.12182 2009.11.09 –
eTrust-Vet 35.1.7111 2009.11.09 –
F-Prot 4.5.1.85 2009.11.09 W32/Damaged_File.gen!Eldorado
F-Secure 9.0.15370.0 2009.11.09 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.11.09 –
GData 19 2009.11.09 –
Ikarus T3.1.1.74.0 2009.11.09 –
Jiangmin 11.0.800 2009.11.09 –
K7AntiVirus 7.10.891 2009.11.07 –
Kaspersky 7.0.0.125 2009.11.09 –
McAfee 5796 2009.11.08 potentially unwanted program Corrupt-07!F1474A03730B
McAfee+Artemis 5796 2009.11.08 potentially unwanted program Corrupt-07!F1474A03730B
McAfee-GW-Edition 6.8.5 2009.11.09 Heuristic.LooksLike.Win32.Worm.B
Microsoft 1.5202 2009.11.09 –
NOD32 4588 2009.11.09 –
Norman 6.03.02 2009.11.09 –
nProtect 2009.1.8.0 2009.11.09 –
Panda 10.0.2.2 2009.11.09 –
PCTools 7.0.3.5 2009.11.09 –
Prevx 3.0 2009.11.09 –
Rising 22.21.00.08 2009.11.09 Packer.Win32.UnkPacker.a
Sophos 4.47.0 2009.11.09 –
Sunbelt 3.2.1858.2 2009.11.08 –
Symantec 1.4.4.12 2009.11.09 –
TheHacker 6.5.0.2.063 2009.11.06 –
TrendMicro 9.0.0.1003 2009.11.09 –
VBA32 3.12.10.11 2009.11.09 –
ViRobot 2009.11.9.2027 2009.11.09 –
VirusBuster 4.6.5.0 2009.11.09 –
Additional information
File size: 112047 bytes
MD5…: f1474a03730bd3bcec15a2fb98e6783d
SHA1..: 6b7b1448ad041c0fb67bcf2bedb63203585f4650

Podríamos desempaquetar todos los ZIP y eliminar los ficheros en los que detectaramos dicho Bagle, pero ello implicaría volverlos a empaquetar, y ello, de momento, lo dejamos para el usuario, que desempaquete los ZIP, esamine lo desempaquetado con el ELIBAGLA y si, tras eliminar lo que detecte, aun existen ficheros dentro de las carpetas KEYGEN, PATCH Y CRACK, que nos envie los ficheros para analizar, ya que posiblemente sean Bagles no controlados.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies