Nuevo ZBOT con rootkit, que no es detectado actualmente mas que por 4 antivirus … !!!
Hemos recibido una nueva variante del troyano ZBOT, en una muestra pedida por el ELISTARA, y que apenas la detectan los antivirus (solo 4 de 41 actualmente), por lo cual informamos de su existencia para “aviso a navegantes”:
File SDRA64.EXE.Muestra_EliStartPage_v received on 2009.09.22 07:47:49 (UTC)
Current status: Loading … queued waiting scanning finished NOT FOUND STOPPED
Result: 4/41 (9.76%)
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.22 –
AhnLab-V3 5.0.0.2 2009.09.22 –
AntiVir 7.9.1.23 2009.09.21 –
Antiy-AVL 2.0.3.7 2009.09.22 –
Authentium 5.1.2.4 2009.09.21 –
Avast 4.8.1351.0 2009.09.21 Win32:Trojan-gen {Other}
AVG 8.5.0.412 2009.09.21 –
BitDefender 7.2 2009.09.22 –
CAT-QuickHeal 10.00 2009.09.21 –
ClamAV 0.94.1 2009.09.22 –
Comodo 2399 2009.09.22 –
DrWeb 5.0.0.12182 2009.09.22 Trojan.PWS.Panda.122
eSafe 7.0.17.0 2009.09.21 –
eTrust-Vet 31.6.6751 2009.09.22 –
F-Prot 4.5.1.85 2009.09.21 –
F-Secure 8.0.14470.0 2009.09.22 –
Fortinet 3.120.0.0 2009.09.22 –
GData 19 2009.09.22 Win32:Trojan-gen {Other}
Ikarus T3.1.1.72.0 2009.09.22 –
Jiangmin 11.0.800 2009.09.22 –
K7AntiVirus 7.10.850 2009.09.21 –
Kaspersky 7.0.0.125 2009.09.22 –
McAfee 5748 2009.09.21 –
McAfee+Artemis 5748 2009.09.21 –
McAfee-GW-Edition 6.8.5 2009.09.22 –
Microsoft 1.5005 2009.09.22 –
NOD32 4445 2009.09.21 a variant of Win32/Kryptik.ALZ
Norman 6.01.09 2009.09.21 –
nProtect 2009.1.8.0 2009.09.21 –
Panda 10.0.2.2 2009.09.21 –
PCTools 4.4.2.0 2009.09.20 –
Prevx 3.0 2009.09.22 –
Rising 21.48.11.00 2009.09.22 –
Sophos 4.45.0 2009.09.22 –
Sunbelt 3.2.1858.2 2009.09.22 –
Symantec 1.4.4.12 2009.09.22 –
TheHacker 6.5.0.2.014 2009.09.21 –
TrendMicro 8.950.0.1094 2009.09.22 –
VBA32 3.12.10.10 2009.09.21 –
ViRobot 2009.9.22.1947 2009.09.22 –
VirusBuster 4.6.5.0 2009.09.21 –
Additional information
File size: 219136 bytes
MD5…: 1c9d9275c885effd9cf17d6b75dfca64
SHA1..: 6a89629b2608d8dbea7d29ddf3bbd0593c5edc0b
Si bien con la actual version del ELISTARA se mueve a C:\muestras (nuestra carpeta de cuarentena) para que a partir del próximo reinicio ya no sea lanzado) y se pide muestra para analizar, en la siguiente versión que hacemos hoy 19.31, este malware ya será controlado específicamente y eliminado como corresponde.
Al tratarse de un Rootkit, se precisa acompañar el ELISTARA.EXE con la DLL complementaria ELINOTIF.DLL, para que, al lanzar el ELISTARA, instale la carga de dicha DLL en el registro de sistema y en el próximo reinicio en modo normal, automaticamente se lance de nuevo el ELISTARA que ya podrá eliminar dicho malware.
Si no se dispone del ELINOTIF.DLL , el ELISTARA indicará que le falta, debiéndose copiar en la misma carpeta las dos utilidades.
Se hace hincapié en que, al ser tan pocos los antivirus que lo detectan actualmente es dificil su detección, recordando que este tipo de malwares, entran desde internet en un .zip adjunto a un e-mail, por lo que como siempre, recordar que NO DEBE PULSARSE SOBRE LINKS, IMAGENES o FICHEROS que lleguen en un mail no solicitado, aunque el remitente sea conocido (igual que los mensajes de MSN) , ya que mediante spoofing el remitente puede ser falseado, o bien pueden ser enviados por un remitente sin conocimiento del mismo.
MUCHO CUIDADO AHI AFUERA 🙂
saludos
ms, 22-9-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.