Los BREDOLAB, temibles downloaders que descargan e instalan entre otros malwares, los BUBNIX, rootkits de dificil detección y eliminación

Los Bredolab son downloaders que descargan de servidores web determinados, peligrosos malwares de alto nivel, y que una vez han ingresado en un ordenador, si bien el Bredolab es de normal detección y eliminación, una vez conocido, lo que descarga e instala puede ser de aupa…

Ya hemos tenido historias con Bredolabs que nos han instalado diferentes FAKE AV, RootKits en el MBR, como el cazapasswords SINOWAL, y sobre todo muchos RootKits de la familia ZBOT, muy de moda actualmente, como los SDRA64.EXE, de los que ya controlamos mas de 100 diferentes variantes que nos han llegado, y que con el ELISTARA + ELINOTIF vamos controlando, pero hay otra familia de menor difusión, tambien descargada por el Bredolab, que es de armas tomar, y se trata de los RootKit BUBNIX:

Estos RootKit BUBNIX no tienen una eliminación ni fácil ni automática, y si se sospecha de ellos o se detecta con algun antivirus que luego no puede eliminar, resumimos la manera de hacerlo, independientemente de su nombre (que es variable) y del servicio que lancen, si bien lo malo del caso es que mientras están activos impiden el acceso tanto de lectura como de escritura, por lo que, sin saber su nombre y no pudiendo explorar su contenido, mientras está activo solo nos cabe sospechar de él si se ha detectado y eliminado un Bredolab, y en tal caso mirar si existe un fichero .SYS reciente en la carpeta c:\windows\system32\drivers, de unos 700-900 KB, y si lo hay, ver si se deja renombrar , y si no se logra… Casi seguro que se trata de una variante de RootKit BUBNIX

La media docena de variantes que tenemos de ellos, una vez renombrado el fichero a .VIR y reiniciado el ordenador, ya el ELISTARA los detecta, elimina los ficheros y los servicios, y soluciona el problema, pero lo malo es la dificultad de saber que se está infectado por cualquiera de sus variantes y proceder a reconocerlo y renombrar su extensión, para que no se ponga en marcha a partir del siguiente reinicio.

SI se sospecha de su existencia, por haber eliminado un Bredolab, por persistencia de anomalías y finalmente por haber identificado el fichero en cuestión, como indicamos arriba, visto que no se deja renombrar normalmente, debe procederse a arrancar con el CD de instalación, acceder a la Consola de Recuperación, pulsando R, y una vez en dicho entorno acceder a la carpeta DRIVERS que cuelga de la de sistema, y en ella, con un REN, añadir a la extensión de dicho fichero la extensión .VIR, así por ejemplo

ren bobmhqy.sys  bobmhqy.sys.vir   siendo bobmhqy.sys una de los nombres usados por las variantes detectadas del BUBNIX

Tras ello, arrancando normal veremos que dicho fichero ya puede ser renombrado, al estar aparcado y no activo.

Si entonces el ELISTARA no lo detecta, conviene enviarnoslo para analizar y controlar en próximas versiones.

Y tras ello, una vez conocido y controlado , implementaremos en la siguiente versión del ELISTARA la detección y eliminación por cadenas, (si no está en uso ya que entonces no se dejaría inspeccionar ni eliminar) para, además del fichero ya renombrado a .VIR, elimine las claves de los servicios correspondientes.

Pero es una asignatura pendiente, ya que tener que llegar a sospechar de él sin detectarlo, y obrar conforme indicado para, si es el caso, renombrarlo, analizarlo y desenmascararlo… es sumamente engorroso.

Sólo lo indico a nivel de que si alguien busca algo que no encuentra ni detecta nadie, mire entre dichos ficheros y haga la prueba … y si es el caso, lo añadiremos a los existentes de dicha familia .

Si se ha tenido un Bredolab, vale la pena investigar lo indicado.
saludos

ms, 13-5-2010

NOTA: Procedemos a añadir en el informe del SPROCES > 4.6,  el listado de ficheros de tales características, existentes en el ordenador procesado, por si vieramos conveniente pedir  muestra de alguno de ellos para analizar.   ms.