Aviso del primer dropper infector que se propaga por pendrive (WATERMARK)

Acabamos de recibir un “dropper” infector que infecta ficheros .EXE y .DLL, aparte de infectar pendrives y unidades extraibles para que propaguen dicho virus a otros ordenadores.

Inicialmente McAfee detecta como Generic-Dx al “padre” de la criatura, de nombre WATERMARK.EXE Al cual pasamos a controlar a partir del ELISTARA 22.08 de hoy como RAMNIT.A, el mismo nombre del virus con el que infecta por acción directa (va infectando sin ni siquiera ejecutarlos) a los ficheros .EXE y .DLL que tiene previsto (de sistema y otros que no lo son)

A los ficheros .EXE infectados McAfee los reconoce con el W32/RAMNIT.A, pero de momento no los limpia, sino que les cambia la extension a .VXE para que no sean ejecutables, y si son del sistema, desde DLLCACHE  son repuestos por los originales.

Pero otros ficheros que el sistema no haya hecho copia en DLLCACHE deberán reponerse del original o copia de seguridad, ya que de momento el antivirus no los limpia

Cuando se ejecuta un fichero que haya sido infectado, se genera el dropper con el nombre del fichero ejecutado añadiendole MGR antes del EXE , asi por ejemplo de un FICHERO.EXE crea otro FICHEROMGR.EXE con el dropper como contenido.

Hemos enviado a McAfee muestra de todos los ficheros, para que traten de limpiarlos en una proxima version.

De momento nosotros, a partir del ELISTARA 22.08 de hoy, hemos implementado la deteccion y eliminacion del dropper, asi como del fichero ejecutable (de nombre variable) creado en los pendrives y en tal caso, del AUTORUN.INF que lo lance.

NOTA MUY IMPORTANTE: PARA ELIMINAR ESTE DROPPER, EL ELISTARA DEBE EJECUTARSE ARRANCANDO EN MODO SEGURO, pues si el malware está en proceso, no se puede detener.

Para que el malware funcione requiere la “MSVCR71.DLL” (Microsoft C Runtime Library), por lo cual una manera de bloquear su accion temporalmente es la de cambiar el nombre a dicha librería, por ejemplo por MSVCR71.DLL.OJO y tras reiniciar no se ejecutará dicho malware.

En el caso de renombrar la DLL, una vez eliminado el virus deberá volverse a dejar como estaba en un principio, para que pueda ser utilizada por otras aplicaciones hechas en C

Existe un fichero .CPL que aparece en los pendrives infectados, si bien al ser de nombre variable y variar 8 bytes de su contenido en cada infección, como sea que el AUTORUN.INF solo llama al ejecutable, y tanto este como el AUTORUN los detectamos y eliminamos con el ELISTARA >22.08, el CPL lo ignoramos por entender que debe ser usado por el .EXE y al eliminar éste, ya no se usa dicho .CPL, pero lo indicamos por que si se observa que ha sido creado, se elimine sin reparos. 

Dicho CPL ademas es poco controlado, posiblemente sin mayor interés:

File name: BXmhloVq.cpl
Submission date: 2010-11-24 09:52:22 (UTC)
Current status: finished
Result: 7 /43 (16.3%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.24.00 2010.11.23 –
AntiVir 7.10.14.82 2010.11.23 –
Antiy-AVL 2.0.3.7 2010.11.24 –
Avast 4.8.1351.0 2010.11.24 –
Avast5 5.0.594.0 2010.11.24 –
AVG 9.0.0.851 2010.11.24 Generic20.GJD
BitDefender 7.2 2010.11.24 –
CAT-QuickHeal 11.00 2010.11.09 –
ClamAV 0.96.4.0 2010.11.24 –
Command 5.2.11.5 2010.11.24 –
Comodo 6829 2010.11.24 –
DrWeb 5.0.2.03300 2010.11.23 –
Emsisoft 5.0.0.50 2010.11.24 Trojan.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.23 –
eTrust-Vet 36.1.7997 2010.11.24 –
F-Prot 4.6.2.117 2010.11.23 –
F-Secure 9.0.16160.0 2010.11.24 –
Fortinet 4.2.254.0 2010.11.23 –
GData 21 2010.11.24 –
Ikarus T3.1.1.90.0 2010.11.24 Trojan.Win32.Ramnit
Jiangmin 13.0.900 2010.11.20 –
K7AntiVirus 9.68.3065 2010.11.24 –
Kaspersky 7.0.0.125 2010.11.24 –
McAfee 5.400.0.1158 2010.11.24 –
McAfee-GW-Edition 2010.1C 2010.11.24 –
Microsoft 1.6402 2010.11.24 Trojan:Win32/Ramnit.C
NOD32 5643 2010.11.23 Win32/Ramnit.F
Norman 6.06.10 2010.11.24 –
nProtect 2010-11-24.01 2010.11.24 –
Panda 10.0.2.7 2010.11.23 –
PCTools 7.0.3.5 2010.11.24 –
Prevx 3.0 2010.11.24 –
Rising 22.75.01.05 2010.11.24 –
Sophos 4.59.0 2010.11.24 W32/Patched-I
SUPERAntiSpyware 4.40.0.1006 2010.11.24 –
Symantec 20101.2.0.161 2010.11.24 –
TheHacker 6.7.0.1.089 2010.11.23 –
TrendMicro 9.120.0.1004 2010.11.24 –
TrendMicro-HouseCall 9.120.0.1004 2010.11.24 –
VBA32 3.12.14.2 2010.11.23 –
VIPRE 7395 2010.11.24 –
ViRobot 2010.11.20.4158 2010.11.24 –
VirusBuster 13.6.56.0 2010.11.23 Trojan.Ramnit!iQNQL6zS3w0
Additional informationShow all 
MD5   : fb807e718474a21af31816ff801ed207
SHA1  : e97a1ceb4fd5acfbec708ea1db20a98bf7614294

File size : 3584 bytes

Si fuera preciso, ya haríamos que el ELISTARA lo eliminara, pues hemos observado que los 8 bytes cambiantes son justamente el nombre del .EXE creado en dicho pendrive, siempre diferente, por lo que si fuera presiso haríamos la rutina para su eliminación, pero de entrada no lo creemos necesario.

Recomendamos, como siempre, vacunar ordenadores y pendrives con el ELIPEN, para evitar la propagacion de malwares por dicho medio

saludos

SATINFO, 24-11-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies