Nuevo ROOTKIT que sustituye al fichero de sistema Agp440.sys y que es lanzado por este sin modificar nada del registro

Ayer vimos que el FAKE ALERT 2010 utilizaba un ROOTKIT que se ocultaba con el nombre de BEEP.SYS (troyano), que sustituía el del sistema, y que sin necesidad de llamarlo con una nueva clave, ya se lanzaba en cada reinicio por hacerlo por defecto los actuales windows, y hoy hemos visto que otro ROOTKIT hace lo mismo, pero esta vez utilizando el nombre AGP440.SYS logrando lo mismo que el anterior, y en este caso, el que hemos detectado aun no es conocido por la mayoría de los antivirus actuales, como se ve en el analisis del VirusTotal al respecto:

File Agp440.sys received on 2009.09.16 08:59:24 (UTC)
Current status: Loading … queued waiting scanning finished NOT FOUND STOPPED
Result: 12/41 (29.27%)
 

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.16 –
AhnLab-V3 5.0.0.2 2009.09.16 –
AntiVir 7.9.1.18 2009.09.16 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.09.16 –
Authentium 5.1.2.4 2009.09.16 –
Avast 4.8.1351.0 2009.09.15 Win32:Cutwail
AVG 8.5.0.412 2009.09.16 –
BitDefender 7.2 2009.09.16 Rootkit.Kobcka.Patched.Gen
CAT-QuickHeal 10.00 2009.09.16 –
ClamAV 0.94.1 2009.09.16 –
Comodo 2334 2009.09.16 TrojWare.Win32.Trojan.RootKit.~GR
DrWeb 5.0.0.12182 2009.09.16 –
eSafe 7.0.17.0 2009.09.15 –
eTrust-Vet 31.6.6739 2009.09.16 –
F-Prot 4.5.1.85 2009.09.15 –
F-Secure 8.0.14470.0 2009.09.16 –
Fortinet 3.120.0.0 2009.09.16 –
GData 19 2009.09.16 Rootkit.Kobcka.Patched.Gen
Ikarus T3.1.1.72.0 2009.09.16 Virus.Win32.Cutwail
Jiangmin 11.0.800 2009.09.16 –
K7AntiVirus 7.10.845 2009.09.15 –
Kaspersky 7.0.0.125 2009.09.16 –
McAfee 5742 2009.09.15 –
McAfee+Artemis 5742 2009.09.15 Artemis!4A0F7A3F2982
McAfee-GW-Edition 6.8.5 2009.09.15 Trojan.Crypt.XPACK.Gen
Microsoft 1.5005 2009.09.16 Virus:Win32/Cutwail.H
NOD32 4428 2009.09.16 –
Norman 6.01.09 2009.09.15 –
nProtect 2009.1.8.0 2009.09.16 –
Panda 10.0.2.2 2009.09.16 Trj/CI.A
PCTools 4.4.2.0 2009.09.14 –
Prevx 3.0 2009.09.16 Medium Risk Malware
Rising 21.47.21.00 2009.09.16 –
Sophos 4.45.0 2009.09.16 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.09.16 –
Symantec 1.4.4.12 2009.09.16 –
TheHacker 6.3.4.4.404 2009.09.15 –
TrendMicro 8.950.0.1094 2009.09.16 –
VBA32 3.12.10.10 2009.09.15 –
ViRobot 2009.9.16.1938 2009.09.16 –
VirusBuster 4.6.5.0 2009.09.15 –
Additional information
File size: 94432 bytes
MD5…: 4a0f7a3f29827719db73c3b5053501c3
SHA1..: ad57593529fd356751eacc4e67d7ff871082b2f8
Fijarse que ni AVG, ni Dr Web, ni Kaspersky, ni NOD32, ni Norman, ni Symantec ni Trend, por nombrar algunos antivirus conocidos, lo detectan actualmente, por lo cual es fácil que se propague con mayor facilidad.

Con el ELISTARA de hoy ya lo controlamos en los XP y con el 19.17 que estamos haciendo, ya lo haremos incluso en el sistema VISTA, y si se detecta una variante no conocida, que seguro que la habrá, pedirá muestra para que se nos envie para analizar y controlar.

Estos Rootkit son especialmente peligrosos, pues cuando están en memoria ocultan claves, procesos y ficheros maliciosos, y su detección en la investigación de cualquier log, se hace dificil al no utilizar claves especiales, sino las que tiene el fichero para lanzar los propios con el mismo nombre…, a lo que mas que ingenieria social como se llama a los trucos para hacer picar a la gente, yo le llamaría ingeniería antisocial …

Bueno uno mas al bote, y con él los que pudieran ser ocultados por el mismo, quedarán al descubierto.

saludos

ms, 16-9-2009