Y Ahora un Fake Alert que nos llega con RootKit ! : BRAVIAX.EXE con BEEP.SYS

Para rizar el rizo, los tan de moda Fake Alert nos llegan ahora escondidos por Rootkit, en este caso un BRAVIAX ocultado por una variante del ROOTKIT.BEEP

A partir del ELISTARA de hoy controlaremos una nueva variante del FakeAlert Braviax, y su RootKit acompañante, que lo oculta para hacer mas dificil su deteción y control

Este RootKit es usado para acompañar a otros malwares, y asi ocultarlos, si bien ya es bastante conocido y controlado (por un 80 % de los antivirus):

File beep.sys received on 2009.09.15 08:00:28 (UTC)
Current status: finished

Result: 33/41 (80.49%)
 Compact Print results  Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.15 Backdoor.Win32.UltimateDefender!IK
AhnLab-V3 5.0.0.2 2009.09.15 –
AntiVir 7.9.1.14 2009.09.14 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.09.15 Backdoor/Win32.UltimateDefender
Authentium 5.1.2.4 2009.09.15 W32/SYStroj.H.gen!Eldorado
Avast 4.8.1351.0 2009.09.14 Win32:FakeAV-NO
AVG 8.5.0.412 2009.09.14 BackDoor.Generic11.AQKG
BitDefender 7.2 2009.09.15 Generic.Malware.P!.0EDB1150
CAT-QuickHeal 10.00 2009.09.14 Backdoor.UltimateDefender.igv
ClamAV 0.94.1 2009.09.14 –
Comodo 2323 2009.09.15 Backdoor.Win32.UltimateDefender.igv
DrWeb 5.0.0.12182 2009.09.15 Trojan.NtRootKit.3206
eSafe 7.0.17.0 2009.09.14 –
eTrust-Vet 31.6.6737 2009.09.14 Win32/Eldycow!generic
F-Prot 4.5.1.85 2009.09.14 W32/SYStroj.H.gen!Eldorado
F-Secure 8.0.14470.0 2009.09.15 Rootkit:W32/Xanti.gen!A
Fortinet 3.120.0.0 2009.09.15 W32/FakeAlert.IGV!tr.bdr
GData 19 2009.09.15 Generic.Malware.P!.0EDB1150
Ikarus T3.1.1.72.0 2009.09.15 Backdoor.Win32.UltimateDefender
Jiangmin 11.0.800 2009.09.15 Rootkit.Agent.cll
K7AntiVirus 7.10.844 2009.09.14 Backdoor.Win32.UltimateDefender.igv
Kaspersky 7.0.0.125 2009.09.15 Backdoor.Win32.UltimateDefender.igv
McAfee 5741 2009.09.14 FakeAlert-C.dr
McAfee+Artemis 5741 2009.09.14 FakeAlert-C.dr
McAfee-GW-Edition 6.8.5 2009.09.15 Heuristic.BehavesLike.Win32.Rootkit.B
Microsoft 1.5005 2009.09.15 VirTool:WinNT/Xantvi.gen!A
NOD32 4425 2009.09.14 a variant of Win32/UltimateDefender.A
Norman 6.01.09 2009.09.14 W32/UltimateDefender.E
nProtect 2009.1.8.0 2009.09.14 –
Panda 10.0.2.2 2009.09.14 Trj/Genetic.gen
PCTools 4.4.2.0 2009.09.14 –
Prevx 3.0 2009.09.15 –
Rising 21.47.11.00 2009.09.15 Trojan.DL.Win32.Braviax.ae
Sophos 4.45.0 2009.09.15 Mal/FakeAle-C
Sunbelt 3.2.1858.2 2009.09.15 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.09.15 Hacktool.Rootkit
TheHacker 6.3.4.4.404 2009.09.15 –
TrendMicro 8.950.0.1094 2009.09.15 TROJ_VIRANTIX.BF
VBA32 3.12.10.10 2009.09.14 Backdoor.Win32.UltimateDefender.igk
ViRobot 2009.9.15.1936 2009.09.15 Backdoor.Win32.UltimateDefender.27648.P
VirusBuster 4.6.5.0 2009.09.14 –
Additional information
File size: 27648 bytes
MD5   : aed3803efa4993d85290aabca192d45b
SHA1  : 4733df169525b06a38061feb56ac09aa59bb8ffb
Siendo identificado por algunos como los Fake Alert que acompañan, ULTIMATEDEFENDER,  FAKE ALERT o incluso BRAVIAX, y el BRAVIAX.EXE, que es propiamente el Fake Alert, la mayoría de los que lo detectan (por un 50 %) lo hacen como FAKE ALERT y FraudLoad:

File braviax.exe received on 2009.09.14 20:18:08 (UTC)
Current status: finished

Result: 20/40 (50.00%)
 Compact Print results  Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.14 Trojan-Downloader.Win32.Renos!IK
AhnLab-V3 5.0.0.2 2009.09.14 –
AntiVir 7.9.1.14 2009.09.14 TR/Dldr.FraudLoad.wraj
Antiy-AVL 2.0.3.7 2009.09.14 –
Authentium 5.1.2.4 2009.09.14 –
Avast 4.8.1351.0 2009.09.14 –
AVG 8.5.0.412 2009.09.14 –
BitDefender 7.2 2009.09.14 –
CAT-QuickHeal 10.00 2009.09.14 TrojanDownloader.Renos
ClamAV 0.94.1 2009.09.14 –
Comodo 2319 2009.09.14 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.09.14 Trojan.Fakealert.5013
eTrust-Vet 31.6.6736 2009.09.14 –
F-Prot 4.5.1.85 2009.09.14 –
F-Secure 8.0.14470.0 2009.09.13 Trojan-Downloader.Win32.FraudLoad.wraj
Fortinet 3.120.0.0 2009.09.14 W32/FraudLoad.WRAJ!tr.dldr
GData 19 2009.09.14 –
Ikarus T3.1.1.72.0 2009.09.14 Trojan-Downloader.Win32.Renos
Jiangmin 11.0.800 2009.09.14 TrojanDownloader.FraudLoad.hov
K7AntiVirus 7.10.844 2009.09.14 Trojan-Downloader.Win32.FraudLoad.wraj
Kaspersky 7.0.0.125 2009.09.14 Trojan-Downloader.Win32.FraudLoad.wraj
McAfee 5741 2009.09.14 –
McAfee+Artemis 5741 2009.09.14 Suspect-29!52BC9B3E6E04
McAfee-GW-Edition 6.8.5 2009.09.14 Trojan.Dldr.FraudLoad.wraj
Microsoft 1.5005 2009.09.14 TrojanDownloader:Win32/Renos
NOD32 4425 2009.09.14 Win32/TrojanDownloader.FakeAlert.GU
Norman 6.01.09 2009.09.14 –
nProtect 2009.1.8.0 2009.09.14 –
Panda 10.0.2.2 2009.09.14 –
PCTools 4.4.2.0 2009.09.14 –
Prevx 3.0 2009.09.14 Medium Risk Malware
Rising 21.47.04.00 2009.09.14 –
Sophos 4.45.0 2009.09.14 Mal/TibsPk-A
Sunbelt 3.2.1858.2 2009.09.14 Trojan.FakeAlert
Symantec 1.4.4.12 2009.09.14 Downloader
TheHacker 6.3.4.4.403 2009.09.14 –
TrendMicro 8.950.0.1094 2009.09.14 –
VBA32 3.12.10.10 2009.09.13 –
ViRobot 2009.9.14.1934 2009.09.14 Spyware.FraudLoad.Do.9728.K
VirusBuster 4.6.5.0 2009.09.14 –
Additional information
File size: 9728 bytes
MD5   : 52bc9b3e6e04de326dd9ac28f331455d
SHA1  : 5f929cb225eda9cd4d69985b6e667e51cb4f0e6b

Nótese que la mitad de los antivirus, incluidos los conocidos Trend,  Sophos, Panda, Norman, CAI, BitDefender, AVG, AVAST entre otros, no lo detectan, sin duda por la pirula del RootKit indicado.

Y es que encima de la cantidad de variantes que aparecen diariamente, y de los variados métodos usados para su introduccion, desde ingenieria social tan conocida y variada, hasta las últimas técnicas que se apoyan en los buscadores, añadiendole ahora rootkit para ocultación, pues cada día un poco mas dificil…

saludos

ms, 15-9-2009

NOTA: Tener en cuenta que el sistema instala un Beep.sys en la carpeta drivers que cuelga de la de sistema, pero de unos 5 kB, mientras que el del malware es de unos 30 kB y la infección sobreescribe dicho fichero, su eliminación puede dejarnos sin BEEP, por lo que puede que haya de restaurarse manualmente si no es el caso.

Y UN DETALLE MUY SIGNIFICATIVO: Se presenta como   ANTIVIRUS PRO 2010 :

ms.