Mas y mas ZBOTS cada día, que son rootkits apenas controlados por los antivirus.

De los cuales destacamos el de moda actual  SDRA64.EXE , de la familia de los ZBOT:

File SDRA64.EXE.Muestra_EliStartPage_v received on 2009.10.07 10:19:59 (UTC)

Result: 4/41 (9.76%)

entre ellos el VirusScan de McAfee heurísticamente:

McAfee+Artemis 5763 2009.10.06 Suspect-29!6B9817754285

Additional information
File size: 549888 bytes
MD5…: 6b9817754285b23ee2e11878b62c0af3
SHA1..: 4a3f90a13ee611fff847efb787b681b59341b45e

 
Como sea que recientemente nos llegan casi a diario muestras de SDRA64.EXE para analizar, detectadas por el ELISTARA, que resultan ser nuevas variantes de Rootkits de la familia ZBOT, avisamos que está de moda el uso y generación de dichas nuevas variantes que ocultan procesos, ficheros y claves de lo que tengan previsto, ultimamente están viniendo asociadas a FAKE ALERT del tipo “Antivirus 2010” pero pueden ocultar cualquier otra cosa.

Lo peligroso de estos Rootkits es que cuando están en uso no dejan ver los ficheros malware que ocultan, con lo cual no se eliminan y el malware se regenera, y en cada reinicio se encuentran de nuevo los malwares que ya habían sido eliminados anteriormente.

El propio SDRA64.EXE se oculta e impide su eliminación, su examen e incluso el acceso a ser copiado, (acceso a lectura y escritura denegado) por ello el ELISTARA requiere el complemento del ELINOTIF.DLL en su misma carpeta, para procesarlo en el siguiente reinicio, antes de que el rootkit se ponga en uso.

Con ello ya eliminamos los que vamos conociendo y pedimos muestra de los nuevos que van apareciendo, los cuales movemos a la carpeta C:\muestras y pedimos se nos envien para analizar y hoy mismo hemos recibido mas muestras del mismo, cuyo control y eliminación añadiremos al ELISTARA que estamos haciendo hoy, ademas de los ya controlados anteriormente, como en versiones anteriores recientes, en las que ya controlamos otras 18 variantes, como en la de ayer:

ELISTARA—v19.40-( 6 de    Octubre del 2009) (Muestras de (3)PWS-OnLineGames.Herss, (4)PWS-OnLineGames.Ahnsoft, NaviPromo, Spy.ZBot.GWQ “SDRA64.EXE”, BlackStone “AHNXSDS0.DLL”, FakeAlert(seres) “SERES.EXE”, Spy.Banker.OO(dldr) “DSC1341.EXE”, (2)Bredolab.Y “MHBUPD32.EXE”, AntivirusPro2010(antispy), FakeScui “_SCUI.CPL”, (4)Trojan.Riern.A “*********9.EXE y *********.DLL”)

Pues con la de hoy ya serán 19 las variantes que controlaremos de este nuevo ROOTKIT, todos ellos recientes, pero de la familia ZBOT, con los que ya hace tiempo que nos estamos peleando !

Es muy importante que ante una anomalía o síntoma de infección, se lance un escaneo con el antivirus actualizado y si no se detecta nada, se descarguen y prueben las nuevas versiones de nuestras utilidades, y visto el resultado, enviarnos las muestras que se pidan, o informanos al respecto, para investigar mas a fondo si procede, pues gracias a ello podemos seguir manteniendo a raya estos malditos roedores … 🙂

saludos

ms, 7-10-2009