Nuevo especimen que utiliza el nombre de CBSS.DLL para su fichero malware
Ayer empezamos a tener el primer contacto con una nueva variante de una familia de troyanos downloader, que viene a ser el Bredolab, pero mas complejo, ya que utiliza para su lanzamiento el WinLogon Notify, de forma que su eliminacion es costosa, para lo que hiciemos ya ayer por la mañana una version de emergencia del ELISTARA 20.05 y del ELINOTIF correspondiente, que sirvieron para controlar y eliminar los de dicha variante, y para pedir muestras de nuevas variantes, que fueron apareciendo a lo largo de la mañana y tarde, que ya se controlaron con el ELISTARA 20.06, y hoy siguen llegando mas muestras de nuevas variantes, que pasaremos a controlar en las siguientes versiones
La última que nos ha llegado la detectan muchos como Bredolab, aunque nosotros le seguiremos llamando MALWARE CBSS:
Scanned time : 2010/01/08 11:48:47 (CET)
Scanner results: 49% Escaner (18/37) encontró infección
File Name : CBSS.DLL.Muestra EliStartPage v20.05
File Size : 42496 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : 8552fbd1d1a72ea52da4035182cb0b0e
SHA1 : 571437cf4e6a14073d582179b8839f30bea9c8c7
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.8 20100108160904 2010-01-08 40.13 –
AhnLab V3 2010.01.08.01 2010.01.08 2010-01-08 40.13 –
AntiVir 8.2.1.130 7.10.2.145 2010-01-08 0.31 TR/Proxy.Sefbov.B
Antiy 2.0.18 20100108.3621411 2010-01-08 0.12 Packed/Win32.Krap.w[:crypt]
Arcavir 2009 201001071543 2010-01-07 0.04 Packed.Krap.w
Authentium 5.1.1 201001080011 2010-01-08 1.24 W32/Trojan2.LMUM (Exact)
AVAST! 4.7.4 100107-1 2010-01-07 0.00 Win32:Crypt-FOT [Trj]
AVG 8.5.288 270.14.129/2606 2010-01-08 0.31 Packed.Revolt
BitDefender 7.81008.4839316 7.29775 2010-01-08 4.09 Trojan.Generic.2709451
CA (VET) 35.1.0 7223 2010-01-07 40.13 –
ClamAV 0.95.2 10272 2010-01-08 0.01 –
Comodo 3.13.579 3409 2010-01-08 37.77 UnclassifiedMalware
CP Secure 1.3.0.5 2010.01.08 2010-01-08 0.06 –
Dr.Web 4.44.0.9170 2010.01.08 2010-01-08 8.36 Trojan.Packed.687
F-Prot 4.4.4.56 20100107 2010-01-07 1.25 W32/Trojan2.LMUM (exact)
F-Secure 7.02.73807 2010.01.08.05 2010-01-08 0.11 Packed.Win32.Krap.w [AVP]
Fortinet 11.349- 11.349 2010-01-08 40.13 –
GData 19.9835/19.664 20100108 2010-01-08 40.13 –
ViRobot 20100108 2010.01.08 2010-01-08 40.13 –
Ikarus T3.1.01.80 2010.01.08.74914 2010-01-08 4.33 Trojan.Win32.Bredolab
JiangMin 13.0.900 2010.01.08 2010-01-08 40.13 –
Kaspersky 5.5.10 2010.01.08 2010-01-08 0.07 Packed.Win32.Krap.w
KingSoft 2009.2.5.15 2010.1.8.7 2010-01-08 40.12 –
McAfee 5.3.00 5854 2010-01-07 3.33 Bredolab!a
Microsoft 1.5302 2010.01.08 2010-01-08 40.13 –
Norman 6.01.09 6.01.00 2010-01-07 4.01 W32/Bredolab.CS
Panda 9.05.01 2010.01.08 2010-01-08 40.13 –
Trend Micro 9.120-1004 6.755.00 2010-01-07 0.03 –
Quick Heal 10.00 2010.01.08 2010-01-08 40.12 –
Rising 20.0 22.29.04.04 2010-01-08 40.12 –
Sophos 3.03.0 4.49 2010-01-08 2.98 Mal/Generic-A
Sunbelt 3.9.2388.2 5606 2010-01-07 40.12 –
Symantec 1.3.0.24 20100102.020 2010-01-02 0.07 Packed.Generic.269
nProtect 20100108.01 6819996 2010-01-08 40.12 –
The Hacker 6.5.0.3 v00141 2010-01-08 40.13 –
VBA32 3.12.12.1 20100106.1141 2010-01-06 2.33 –
VirusBuster 4.5.11.10 10.118.24/2004645 2010-01-08 2.33 Trojan.PR.Sefbov.AX
Es muy importante que se copie en la misma carpeta el ELISTARA.EXE y el ELINOTIF.DLL para que si al SALIR el ELISTARA ve que persiste el fichero en cuestion, instale el ELINOTIF en el registro y lo lance al reiniciar, antes de cargar windows, para asi terminar con el malware en cuestion.
Por último, recordar que algunas descargas de Bredolabs instalan RootKits en el MBR, por lo que puede ser necesario arrancar con el CD de instalacion, entrar en Consola de Recuperacion, y lanzar un FIXMBR para corregirlo, pues de lo contrario persistiría el problema al arrancar siempre con el MBR infectado.
Otra historia para no dormir …
saludos
ms, 8-1-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.