McAfee informa sobre nuevo BOT presente en España: W32/PINKSLIPBOT

W32/PINKSLIPBOT

Ya detectadas otras variantes por las versiones anteriores del VirusScan, ayer se pasó a controlar la última variante de este peligroso BOT que ya está presente en ordenadores de multinacionales españolas.

La infección puede venir por acceso a webs infectadas.

Con los DAT 6178 se controla esta última variante:

Detalle:

W32/Pinkslipbot.gen.v
Tipo Troyano Genérico
Fecha de descubrimiento 20/11/2010
Longitud
Mínimo DAT 6178 (25/11/2010)   (ya disponibles)
Mínima motor 5.4.00

Descripción 21/11/2010 5:57 (PT)

Información general –
Se trata de una detección de virus. Los virus son programas que se auto-replicarse de forma recursiva, es decir, que los sistemas infectados transmiten el virus a otros sistemas, y así sucesivamente. Aunque muchos virus contienen una carga destructiva, es muy común que los virus no hagan más que propagarse de un sistema a otro.

Alias
•DrWeb-Trojan.PWS.Siggen.9645
•Ikarus – Trojan-Dropper.Win32.Oficla
•Kaspersky – Trojan-PSW.Win32.Qbot.aem
•Microsoft – Backdoor: Un WIn32/Qakbot.gen!

Características –
Esta detección es de un malware que tiene la capacidad de conectarse a un comando IRC y al servidor de control. El gusano puede seguir instrucciones indicadas por el atacante de este servidor de IRC. Además, está diseñado para descargar archivos maliciosos de sitios web controlados por el autor del software malicioso.

Para más detalles sobre Pinkslipbot ver:

http://vil.nai.com/vil/content/v_303139.htm

Síntomas –
•Presencia de los archivos antes mencionados y modifica el registro de sistema
•Acceso al dominio antes mencionados.
•El acceso a sitios web relacionados con la seguridad se bloquea.
 
Método de infección –
Algunas variantes de este robot se pueden instalar a través de exploits en sitios web comprometidos.

Por favor, siga las siguientes instrucciones para todas las versiones de Windows para eliminar las amenazas y otros riesgos potenciales:

1.Desactivar Restaurar sistema (Windows Me / XP).

2.Actualizar a la actual motor y los archivos DAT para la detección y eliminación.

3.Ejecute un análisis completo del sistema.

Se eliminan las modificaciones hechas al registro de sistema y/o archivos ini que hayan sido añadidos al inicio, siempre que la combinación motor DAT sea la adecuada.

La reparación general puede no realizarse en algunos casos. Si esto ocurre, por favor presentar una muestra para una evaluación adicional.
 Fuente

Anexo:
Y como puede verse en el link de detalles generales, el gusano conecta con estos dominios para  recibir actualizaciones y configuracion de ficheros:

◦swallowthe[removed]e.com/cgi-bin/clientinfo3.pl”
◦red[removed].com.ua/cgi-bin/exhandler4.pl
◦red[removed].com.ua/cgi-bin/ss.pl
◦nt[removed].cn/cgi-bin/jl/jloader.pl?r=3d
◦nt[removed].in/cgi-bin/jl/jloader.pl?r=q
◦nt[removed].in/cgi-bin/jl/jloader.pl?
◦nt[removed].in/1
◦nt15.in
◦nt002.cn
◦nt12.co.in
◦nt14.co.in
◦hotb[removed].com
◦cdcdcdcdc212[removed].com
◦host[removed].com
◦boogiewo[removed].com
◦nt002.cn
◦up002.cn
◦adserv.co.in
◦up004.cn
◦up01.co.in
◦nt002.cn
◦nt010.cn
◦nt202.cn
◦up02.co.in
◦up03.in
◦up003.com.ua
◦nt15.in
◦nt16.in

(los .cn son dominios de China)

Monitoriza el tráfico del usuario al conectar con webs que contienen estas cadenas:

◦cashproonline.bankofamerica.com
◦cashplus
◦ebanking-services.com
◦cashman
◦web-cashplus.com
◦treas-mgt.frostbank.com
◦business-eb.ibanking-services.com
◦treasury.pncbank.com
◦access.jpmorgan.com
◦ktt.key.com
◦onlineserv
◦premierview.membersunited.org
◦directline4biz.com
◦onb.webcashmgmt.com
◦tmconnectweb
◦moneymanagergps.com
◦ibc.klikbca.com
◦directpay.wellsfargo.com
◦express.53.com
◦itreasury.regions.com
◦itreasurypr.regions.com
◦cpw-achweb.bankofamerica.com
◦businessaccess.citibank.citigroup.com
◦businessonline.huntington.com
◦cashproonline.bankofamerica.com
◦/cashplus/
◦ebanking-services.com
◦/cashman/
◦singlepoint.usbank.com
◦netconnect.bokf.com
◦moneymanagergps

El malware puede realizar cualquier de las siguientes funciones:

◦Actualizacion o descarga de componentes adicionales
◦Desisntalacion de sí mismo
◦Realizar funciones ftp
◦Enviar ficheros
◦Matar procesos
◦Capturar datos de sistema y maliciosos

Dichos datos pueden incluir los siguientes:

◦ext_ip
◦dnsname
◦hostname
◦country
◦state
◦city
◦user
◦domain
◦os
◦time
◦cookies

Impide acceder a estas webs:

•avast
•avg
•avira
•avp
•bitdefender
•bit9
•castlecops
•centralcommand
•clamav
•comodo
•computerassociates
•cpsecure
•defender
•drweb
•emsisoft
•esafe
•eset
•etrust
•ewido
•fortinet
•f-prot
•f-secure
•gdata
•grisoft
•hacksoft
•hauri
•ikarus
•jotti
•k7computing
•kaspersky
•malware
•mcafee
•microsoft
•networkassociates
•nod32
•norman
•norton
•panda
•pctools
•prevx
•quickheal
•rising
•rootkit
•securecomputing
•sophos
•spamhaus
•spyware
•sunbelt
•symantec
•threatexpert
•trendmicro
•virus
•wilderssecurity
•windowsupdate

FInaliza estos procesos:

•ollydbg.exe
•dbgview.
•msdev.exe;
•cmd.exe;
•far.exe;
•nc.exe
•ccApp.exe
•skype
•R&Q.exe
•Photoed
•outlook.exe
•mmc.exe
•ctfmon.exe

En resumen:
Como puede verse es un peligroso malware, que entra al visitar webs infectadas, se conecta via IRC a servidores maliciosos, descarga y actualiza nuevas versiones del malware, es cazapasswords (monitoriza accesos a muchos subdominios bancarios), envia datos a webs relacionadas (muchas de China), impide acceder a webs de empresas de seguridad, y finaliza procesos antivirus.

Mas vale no encontrarse con él, pero conviene tener actualizado el antivirus para evitar infectarse !!!

saludos

ms, 26-11-2010