Nueva variante del BUBNIX que nadie detecta cuando está en uso y que ni arrancando en Consola de Recuperacion se puede tocar (copiar, borrar, mover, renombrar…)

Publicado el 25 mayo 2010 ¬ 17:45 pmh.mscComentarios desactivados en Nueva variante del BUBNIX que nadie detecta cuando está en uso y que ni arrancando en Consola de Recuperacion se puede tocar (copiar, borrar, mover, renombrar…)

Pues mas difícil todavía !

Ya hemos dicho en noticias anteriores que uno de los BOTNET que mas nos preocupan es la familia del BUBNIX, por sus especiales características de imposibilidad de ser accedido cuando está en uso, pero hasta ahora lo conseguíamos arrancando en Consola de Recuperación…

Pues hoy nos está mareando una nueva variante que ni asi lo podemos renombrar, inicialmente se llama dnscly.sys, pero este debe ser un nombre variable como es costumbre usan los de dicha familia, por lo que poco nos ayuda al no poder ni buscarlo por nombre ni por cadenas, ya que no se deja ni leer, (ni copiar, ni renombrar, ni borrar, claro)

Cuando gracias al SPROCES  4.6B o superior pidamos que se renombre a .VIR un sispechoso al respecto, y no se pueda ni arrancando en Consola de Recuperacion, hacerlo colocando el disco duro como esclavo de otra unidad limpia, y arrancando con el Master, se podrá acceder al esclavo y renombrar dicho fichero, añadiendo .VIR a su extension, y muy importante, enviarnoslo para analizar y controlar, y asi ver qué mas se trae entre manos.

Con ello ya se habrá aparcado el problema y a continuacion puede que incluso los antivirus detecten ya dicho BUBNIX, al no estar en uso, pero sin saber a priori cual es y haberlo renombrado segun indicado, es una asignatura pendiente para ellos.

Afortunadamente, mano a mano con experimentados colaboradores que siguen nuestras indicaciones e incluso tienen iniciativas propias dignas de tener en cuenta, vamos salvando los escollos, cada día mas difíciles, como este, el cual puede que sea la causa del envio de cientos de miles de spam diarios sin conocimiento del usuario “zombie” afectado.

Cuando se presente una anomalía como la de Fake AV, Spam, trafico anormal en el router, etc y con el ELISTARA no se detecte nada anormal ni pida envio de muestras  para analizar, enviarnos el log del SPROCES.EXE (comprobar que sea version 4.6 B o superior) y veremos si hay algo nuevo conocido o desconocido, ya que estamos ante una constante proliferación de nuevas variantes de malwares que usan métodos atípicos lo cuales hemos de ir descubriendo y controlando

saludos

ms, 25-5-2010

ANEXO : CASI TODOS LO DETECTAN CUANDO NO ESTA EN USO….:

File dnscly.sys.vir received on 2010.05.25 16:29:15 (UTC)

Result: 39/41 (95.13%)

Antivirus Version Last Update Result

a-squared 4.5.0.50 2010.05.10 Rootkit.Win32.Agent!IK
AhnLab-V3 2010.05.25.05 2010.05.25 Win-Trojan/Rootkit.823808
AntiVir 8.2.1.242 2010.05.25 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2010.05.25 Trojan/Win32.Agent.gen
Authentium 5.2.0.5 2010.05.25 W32/Rootkit.F.gen!Eldorado
Avast 4.8.1351.0 2010.05.25 Win32:Qandr
Avast5 5.0.332.0 2010.05.25 Win32:Qandr
AVG 9.0.0.787 2010.05.25 Rootkit-Agent.EG
BitDefender 7.2 2010.05.25 Rootkit.34459
CAT-QuickHeal 10.00 2010.05.25 Rootkit.Agent.bert
ClamAV 0.96.0.3-git 2010.05.25 –
Comodo 4941 2010.05.25 TrojWare.Win32.Rootkit.Agent.bert
DrWeb 5.0.2.03300 2010.05.25 Trojan.NtRootKit.6929
eSafe 7.0.17.0 2010.05.25 Win32.TRRootkit
eTrust-Vet 35.2.7508 2010.05.25 Win32/Bubnix.F
F-Prot 4.6.0.103 2010.05.24 W32/Rootkit.F.gen!Eldorado
F-Secure 9.0.15370.0 2010.05.25 Rootkit.34459
Fortinet 4.1.133.0 2010.05.25 W32/SysPk.A!tr.rkit
GData 21 2010.05.25 Rootkit.34459
Ikarus T3.1.1.84.0 2010.05.25 Rootkit.Win32.Agent
Jiangmin 13.0.900 2010.05.24 Rootkit.Agent.hgh
Kaspersky 7.0.0.125 2010.05.25 Rootkit.Win32.Agent.bert
McAfee 5.400.0.1158 2010.05.25 Generic.dx!prm
McAfee-GW-Edition 2010.1 2010.05.25 Generic.dx!prm
Microsoft 1.5802 2010.05.25 Trojan:WinNT/Bubnix.gen!A
NOD32 5144 2010.05.25 Win32/Bubnix.AO
Norman 6.04.12 2010.05.25 Rootkit.BUWH
nProtect 2010-05-25.01 2010.05.25 Trojan/W32.Agent.823808.G
Panda 10.0.2.7 2010.05.25 Rootkit/Agent.NMS
PCTools 7.0.3.5 2010.05.25 Hacktool.Rootkit
Prevx 3.0 2010.05.25 –
Rising 22.49.01.04 2010.05.25 Trojan.Win32.Generic.51FD4740
Sophos 4.53.0 2010.05.25 Troj/Agent-MWC
Sunbelt 6353 2010.05.25 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.25 Hacktool.Rootkit
TheHacker 6.5.2.0.287 2010.05.25 Trojan/Agent.bert
TrendMicro 9.120.0.1004 2010.05.25 RTKT_AGENT.AUYL
TrendMicro-HouseCall 9.120.0.1004 2010.05.25 RTKT_AGENT.AUYL
VBA32 3.12.12.5 2010.05.25 Rootkit.Win32.Agent.bert
ViRobot 2010.5.20.2326 2010.05.25 Spyware.Agent.RootKit.823808
VirusBuster 5.0.27.0 2010.05.25 Rootkit.Agent.URTH
Additional information
File size: 823808 bytes
MD5…: 80c6af4f948d4168fc90da1a6f4b6924
SHA1..: 5c44387aa00c41383ee5d58772934538119a8f74

ms.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies