La familia del downloader BREDOLAB está de moda, e intrusiona por visitar webs.

Publicado el 16 marzo 2010 ¬ 12:12 pmh.mscComentarios desactivados en La familia del downloader BREDOLAB está de moda, e intrusiona por visitar webs.

De entre las muestras recibidas hoy, cabe destacar una variante de la familia que está de moda, BREDOLAB, y que al no estar aun controlado por muchos antivirus (solo por 8 de 42 del VirusTotal), es muy facil ingresarlo :
File WINESM32.EXE.Muestra_EliStartPage received on 2010.03.16 10:47:26 (UTC)

File size: 31744 bytes
MD5…: f13114631f38bdcc91f111e118ed28ac
SHA1..: c8065543bedf7d245ee325267e7102a35707d558
Result: 8/42 (19.05%)

Cabe comentar que ninguno de estos lo controla todavía:

AhnLab-V3 5.0.0.2 2010.03.16 –
AntiVir 8.2.1.180 2010.03.16 –
Antiy-AVL 2.0.3.7 2010.03.16 –
Authentium 5.2.0.5 2010.03.16 –
Avast 4.8.1351.0 2010.03.15 –
Avast5 5.0.332.0 2010.03.15 –
AVG 9.0.0.787 2010.03.16 –
BitDefender 7.2 2010.03.16 –
CAT-QuickHeal 10.00 2010.03.15 –
ClamAV 0.96.0.0-git 2010.03.16 –
Comodo 4283 2010.03.16 –
DrWeb 5.0.1.12222 2010.03.16 –
eSafe 7.0.17.0 2010.03.15 –
eTrust-Vet 35.2.7365 2010.03.16 –
F-Prot 4.5.1.85 2010.03.16 –
F-Secure 9.0.15370.0 2010.03.16 –
Fortinet 4.0.14.0 2010.03.15 –
GData 19 2010.03.16 –

, junto con McAfee, NOD32 y algun otro significativo…

A partir del ELISTARA 20.54 de hoy ya lo controlaremos, si bien recordamos que esta familia descarga RootKits, Fake AV,  y otras “malas hierbas” por lo que si se detecta, aparte de eliminarlo, es muy importante asegurarse que no queda ningun otro intruso descargado por éste, y que aun no se controlara.

Si es el caso, además del ELISTARA.EXE con el ELINOTIF.DLL, y postearnos el informe resultante (C:\infosat.txt), si tras ello persiste alguna anomalía, es recomendable probar el SPROCES.EXE y postearnos el fichero que genera (C:\SPROCLOG.TXT) para ver si aparece algun sospechoso que necesitemos nos envien para analizar

Normalmente se ubican en la carpeta de inicio, pero si no fuera el caso podría detectarse donde estuviera, con el ELIMD5.EXE indicando cualquiera de los dos hashes indicados en el anterior informe:

MD5…: f13114631f38bdcc91f111e118ed28ac
SHA1..: c8065543bedf7d245ee325267e7102a35707d558

y marcar la casilla de renombrar a .VIR para que no se pongan en uso a  partir del siguiente reinicio

saludos

ms, 16-3-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies