Nuevo especimen que utiliza el nombre de CBSS.DLL para su fichero malware

Publicado el 8 enero 2010 ¬ 12:36 pmh.mscComentarios desactivados en Nuevo especimen que utiliza el nombre de CBSS.DLL para su fichero malware

Ayer empezamos a tener el primer contacto con una nueva variante de una familia de troyanos downloader, que viene a ser el Bredolab, pero mas complejo, ya que utiliza para su lanzamiento el WinLogon Notify, de forma que su eliminacion es costosa, para lo que hiciemos ya ayer por la mañana una version de emergencia del ELISTARA 20.05 y del ELINOTIF correspondiente, que sirvieron para controlar y eliminar los de dicha variante, y para pedir muestras de nuevas variantes, que fueron apareciendo a lo largo de la mañana y tarde, que ya se controlaron con el ELISTARA 20.06, y hoy siguen llegando mas muestras de nuevas variantes, que pasaremos a controlar en las siguientes versiones

La última que nos ha llegado la detectan muchos como Bredolab, aunque nosotros le seguiremos llamando MALWARE CBSS:
Scanned time   : 2010/01/08 11:48:47 (CET)
Scanner results: 49% Escaner (18/37) encontró infección
File Name      : CBSS.DLL.Muestra EliStartPage v20.05
File Size      : 42496 byte
File Type      : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5            : 8552fbd1d1a72ea52da4035182cb0b0e
SHA1           : 571437cf4e6a14073d582179b8839f30bea9c8c7
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.8         20100108160904    2010-01-08  40.13  –
AhnLab V3      2010.01.08.01   2010.01.08        2010-01-08  40.13  –
AntiVir        8.2.1.130       7.10.2.145        2010-01-08  0.31   TR/Proxy.Sefbov.B
Antiy          2.0.18          20100108.3621411  2010-01-08  0.12   Packed/Win32.Krap.w[:crypt]
Arcavir        2009            201001071543      2010-01-07  0.04   Packed.Krap.w
Authentium     5.1.1           201001080011      2010-01-08  1.24   W32/Trojan2.LMUM (Exact)
AVAST!         4.7.4           100107-1          2010-01-07  0.00   Win32:Crypt-FOT [Trj]
AVG            8.5.288         270.14.129/2606   2010-01-08  0.31   Packed.Revolt
BitDefender    7.81008.4839316 7.29775           2010-01-08  4.09   Trojan.Generic.2709451
CA (VET)       35.1.0          7223              2010-01-07  40.13  –
ClamAV         0.95.2          10272             2010-01-08  0.01   –
Comodo         3.13.579        3409              2010-01-08  37.77  UnclassifiedMalware
CP Secure      1.3.0.5         2010.01.08        2010-01-08  0.06   –
Dr.Web         4.44.0.9170     2010.01.08        2010-01-08  8.36   Trojan.Packed.687
F-Prot         4.4.4.56        20100107          2010-01-07  1.25   W32/Trojan2.LMUM (exact)
F-Secure       7.02.73807      2010.01.08.05     2010-01-08  0.11   Packed.Win32.Krap.w [AVP]
Fortinet       11.349-         11.349            2010-01-08  40.13  –
GData          19.9835/19.664  20100108          2010-01-08  40.13  –
ViRobot        20100108        2010.01.08        2010-01-08  40.13  –
Ikarus         T3.1.01.80      2010.01.08.74914  2010-01-08  4.33   Trojan.Win32.Bredolab
JiangMin       13.0.900        2010.01.08        2010-01-08  40.13  –
Kaspersky      5.5.10          2010.01.08        2010-01-08  0.07   Packed.Win32.Krap.w
KingSoft       2009.2.5.15     2010.1.8.7        2010-01-08  40.12  –
McAfee         5.3.00          5854              2010-01-07  3.33   Bredolab!a
Microsoft      1.5302          2010.01.08        2010-01-08  40.13  –
Norman         6.01.09         6.01.00           2010-01-07  4.01   W32/Bredolab.CS
Panda          9.05.01         2010.01.08        2010-01-08  40.13  –
Trend Micro    9.120-1004      6.755.00          2010-01-07  0.03   –
Quick Heal     10.00           2010.01.08        2010-01-08  40.12  –
Rising         20.0            22.29.04.04       2010-01-08  40.12  –
Sophos         3.03.0          4.49              2010-01-08  2.98   Mal/Generic-A
Sunbelt        3.9.2388.2      5606              2010-01-07  40.12  –
Symantec       1.3.0.24        20100102.020      2010-01-02  0.07   Packed.Generic.269
nProtect       20100108.01     6819996           2010-01-08  40.12  –
The Hacker     6.5.0.3         v00141            2010-01-08  40.13  –
VBA32          3.12.12.1       20100106.1141     2010-01-06  2.33   –
VirusBuster    4.5.11.10       10.118.24/2004645 2010-01-08  2.33   Trojan.PR.Sefbov.AX

Es muy importante que se copie en la misma carpeta el ELISTARA.EXE y el ELINOTIF.DLL para que si al SALIR el ELISTARA ve que persiste el fichero en cuestion, instale el ELINOTIF en el registro y lo lance al reiniciar, antes de cargar windows, para asi terminar con el malware en cuestion.

Por último, recordar que algunas descargas de Bredolabs instalan RootKits en el MBR, por lo que puede ser necesario arrancar con el CD de instalacion, entrar en Consola de Recuperacion, y lanzar un FIXMBR para corregirlo, pues de lo contrario persistiría el problema al arrancar siempre con el MBR infectado.

Otra historia para no dormir …

saludos

ms, 8-1-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies