Nueva variante de la familia Spy ZBOT, apenas controlada. Y la descarga un svcnost.exe (ojo al nombre, no es el svchost …)
Pasamos a controlar a partir del ELISTARA de hoy 21.46 una nueva variante de ZBOT, que si bien ya era cazado por anteriores ELISTARA pidiendo muestra para analizar, a pesar de aparcarlo en C:\muestras y eliminar la clave de lanzamiento, esta era regenerada por la ejecucion de otro fichero de nombre picaresco, svcnost.exe , cuya similitud con el nombre del svchost del sistema, lo hace pasar desapercibido.
Este svcnost.exe es un downloader que tambien pasamos a controlar y eliminar, junto con su clave de lanzamiento en el registro.
Como otros malwares controlados por el ELISTARA, se delatan por aparecer doble acento cada vez que se escribe un caracter acentuado en los textos con el word.
El PEIB.EXE apenas es detectado por los antivirus actuales:
File name: PEIB.EXE.Muestra EliStartPage v21.44
Submission date: 2010-08-24 07:46:43 (UTC)
Current status: finished
Result: 9 /38 (23.7%)
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.24.00 2010.08.23 –
AntiVir 8.2.4.38 2010.08.23 TR/Agent.awg
Antiy-AVL 2.0.3.7 2010.08.23 –
Authentium 5.2.0.5 2010.08.24 –
Avast 4.8.1351.0 2010.08.23 Win32:Malware-gen
Avast5 5.0.332.0 2010.08.23 Win32:Malware-gen
AVG 9.0.0.851 2010.08.24 FakeAV.CWC
BitDefender 7.2 2010.08.24 –
CAT-QuickHeal 11.00 2010.08.24 –
ClamAV 0.96.2.0-git 2010.08.24 –
Comodo 5841 2010.08.24 –
Emsisoft 5.0.0.37 2010.08.24 –
eTrust-Vet 36.1.7810 2010.08.23 –
F-Prot 4.6.1.107 2010.08.24 –
Fortinet 4.1.143.0 2010.08.23 –
GData 21 2010.08.24 Win32:Malware-gen
Ikarus T3.1.1.88.0 2010.08.24 –
Jiangmin 13.0.900 2010.08.23 –
Kaspersky 7.0.0.125 2010.08.24 –
McAfee 5.400.0.1158 2010.08.24 –
McAfee-GW-Edition 2010.1B 2010.08.24 –
Microsoft 1.6103 2010.08.24 –
NOD32 5391 2010.08.24 Win32/Spy.Zbot.ZR
Norman 6.05.11 2010.08.23 –
nProtect 2010-08-24.01 2010.08.24 –
Panda 10.0.2.7 2010.08.23 –
PCTools 7.0.3.5 2010.08.24 –
Prevx 3.0 2010.08.24 Low Risk Adware
Rising 22.62.01.03 2010.08.24 –
Sophos 4.56.0 2010.08.24 Troj/Zbot-XE
Sunbelt 6783 2010.08.24 –
SUPERAntiSpyware 4.40.0.1006 2010.08.24 –
TheHacker 6.5.2.1.355 2010.08.24 Trojan/Kryptik.gfb
TrendMicro 9.120.0.1004 2010.08.24 –
TrendMicro-HouseCall 9.120.0.1004 2010.08.24 –
VBA32 3.12.14.0 2010.08.23 –
ViRobot 2010.8.18.3995 2010.08.24 –
VirusBuster 5.0.27.0 2010.08.23 –
Additional informationShow all
MD5 : 908cd27bab0b15a257f1e14f4aebcb3e
SHA1 : 9118747d40e6fd075cab6e7bb2e7afaa38ade48a
A partir de las 15 h del 24-8-2010, ya los controlamos con el ELISTARA 21.46
Recuerdese la baja deteccion actual de este malware (23,7 %) por lo que si se percibe un doble acento, lanzar el ELISTARA y si ya lo controla, perfecto, pero si pide envio de muestra para analizar, proceder en consecuencia, ya que cada día aparecen nuevas variantes de esta familia.
saludos
ms, 24-8-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.