Nueva variante de RootKit ZBOT muy poco detectado, que usa el nombre de TWEX.EXE, como otros RootKits similares

El ELISTARA detecta fichero sospechoso que resulta ser un ZBOT solo controlado hoy por por 6 AV, cuando no está ya residente en memoria…:

Justo es decir que AVAST, NOD32 y NORMAN han sido los tres unicos antivirus usuales de los 6 que el analisis con los 41 AV del VirusTotal, han detectado una nueva variante de RootKit de la familia ZBOT, (cuando ya no estaba en memoria), además del ELISTARA, que ha detectado y pedido muestras para analizar, (aun estando residente en memoria), y que conjuntamente con el ELINOTIF.DLL, a partir de la version de hoy, 19.75, ya detectarán y eliminarán este malware, con el proceso acostumbrado de tener en la misma carpeta las dos utilidades indicadas y tras lanzar y salir del ELISTARA, reiniciar para completar la eliminación, siguiendo las indicaciones ONLINE.

File TWEX.EXE.Muestra_EliStartPage_v19 received on 2009.11.23 16:47:03 (UTC)
Result: 6/40 (15%)
Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.11.23 –
AhnLab-V3 5.0.0.2 2009.11.20 –
AntiVir 7.9.1.70 2009.11.23 –
Antiy-AVL 2.0.3.7 2009.11.23 –
Authentium 5.2.0.5 2009.11.23 –
Avast 4.8.1351.0 2009.11.23 Win32:Rootkit-gen
AVG 8.5.0.425 2009.11.22 –
BitDefender 7.2 2009.11.23 –
CAT-QuickHeal 10.00 2009.11.23 –
ClamAV 0.94.1 2009.11.23 –
Comodo 3010 2009.11.23 –
DrWeb 5.0.0.12182 2009.11.23 –
eSafe 7.0.17.0 2009.11.23 –
eTrust-Vet 35.1.7136 2009.11.23 –
F-Prot 4.5.1.85 2009.11.23 –
Fortinet 3.120.0.0 2009.11.23 –
GData 19 2009.11.23 Win32:Rootkit-gen 
Ikarus T3.1.1.74.0 2009.11.23 –
Jiangmin 11.0.800 2009.11.23 –
K7AntiVirus 7.10.903 2009.11.23 –
Kaspersky 7.0.0.125 2009.11.23 –
McAfee 5810 2009.11.22 –
McAfee+Artemis 5810 2009.11.22 –
McAfee-GW-Edition 6.8.5 2009.11.23 –
Microsoft 1.5302 2009.11.23 –
NOD32 4630 2009.11.23 a variant of Win32/Kryptik.BEF
Norman 6.03.02 2009.11.23 W32/Zbot.NLS
nProtect 2009.1.8.0 2009.11.23 –
Panda 10.0.2.2 2009.11.23 –
PCTools 7.0.3.5 2009.11.23 –
Prevx 3.0 2009.11.23 –
Rising 22.23.00.09 2009.11.23 Packer.Win32.UnkPacker.a
Sophos 4.47.0 2009.11.23 –
Sunbelt 3.2.1858.2 2009.11.22 Trojan-Spy.Win32.Zbot.gen (v)
Symantec 1.4.4.12 2009.11.23 –
TheHacker 6.5.0.2.075 2009.11.20 –
TrendMicro 9.0.0.1003 2009.11.23 –
VBA32 3.12.12.0 2009.11.22 –
ViRobot 2009.11.23.2049 2009.11.23 –
VirusBuster 5.0.21.0 2009.11.23 –
Additional information
File size: 336896 bytes
MD5…: 0f44501469795cf5c81052ca9fc80f1a
SHA1..: 246152c887a7f566615bcae7c4d88175328f949c
Hay que decir que los RootKit son de dificil detección, y que el ELISTARA logra pedir muestras de sospechosos incluso estando en memoria, lo cual es dificil que lo hagan incluso los antivirus que han detectado la muestra, sin estar en memoria el dichoso Rootkit, en cuyo caso es mucho mas fácil

Decir que la de la misma familia conocemos otros nombres de fichero en el que se esconden, como el TWEXT.EXE (este de ahora viene con el nombre de TWEX.EXE), SDRA64.EXE, etc, controlados de la misma forma (ELISTARA+ELINOTIF), con bastantes variantes cada uno de ellos.

Y como siempre, con el virus en memoria, ocultan procesos, claves que los lanzan y ficheros relacionados, con lo que es dificil pillarlos … 🙂

saludos

ms, 23-11-2009