Nuevo medio de ejecucion de malwares que pasa desapercibido al usar ficheros habituales del ordenador

Publicado el 7 julio 2010 ¬ 10:45 amh.mscComentarios desactivados en Nuevo medio de ejecucion de malwares que pasa desapercibido al usar ficheros habituales del ordenador

En una revisión de los ordenadores que utilizamos para monitorizar muestras, hemos observado la infección de ficheros habituales de ordenador, como el CALC.EXE , que ha presentado una modificacion de 120 caracteres, sin incrementar su tamaño y funcionando correctamente, si bien su ejecución lanza además un fichero EXE de nombre variable, cuya carga no es visible con medios como el HJT, SPROCES y demás, ya que ella la hace el fichero lanzado.

Ellos ya son detectados por la mayoría de antivirus, como puede verse en el preanalisis con el VirusTotal:

File calc.vxe received on 2010.07.07 07:24:40 (UTC)

Result: 37/40 (92.5%)

Antivirus Version Last Update Result
a-squared 5.0.0.31 2010.07.07 Virus.Win32.Texel!IK
AhnLab-V3 2010.07.07.00 2010.07.06 Win32/Luder
AntiVir 8.2.4.10 2010.07.07 TR/Luder.Patched.84
Antiy-AVL 2.0.3.7 2010.07.07 –
Authentium 5.2.0.5 2010.07.07 W32/Heuristic-210!Eldorado
Avast 4.8.1351.0 2010.07.06 Win32:Luder
Avast5 5.0.332.0 2010.07.06 Win32:Luder
AVG 9.0.0.836 2010.07.06 I-Worm/Luder
BitDefender 7.2 2010.07.07 Win32.Luder.Gen
CAT-QuickHeal 11.00 2010.06.30 W32.Luder.B
ClamAV 0.96.0.3-git 2010.07.07 W32.Luder-1
Comodo 5345 2010.07.07 Virus.Win32.Texel.B
DrWeb 5.0.2.03300 2010.07.07 Trojan.Starter.171
eSafe 7.0.17.0 2010.07.06 –
eTrust-Vet 36.1.7690 2010.07.07 Win32/Fuceb
F-Prot 4.6.1.107 2010.07.07 W32/Heuristic-210!Eldorado
F-Secure 9.0.15370.0 2010.07.07 Win32.Luder.Gen
Fortinet 4.1.133.0 2010.07.04 W32/WBoy.A
GData 21 2010.07.07 Win32.Luder.Gen
Ikarus T3.1.1.84.0 2010.07.07 Virus.Win32.Texel
Jiangmin 13.0.900 2010.07.07 Win32/Luder.a
Kaspersky 7.0.0.125 2010.07.07 Virus.Win32.Texel.k
McAfee 5.400.0.1158 2010.07.07 W32/WBoy.a
McAfee-GW-Edition 2010.1 2010.07.05 Heuristic.LooksLike.Win32.Luder.I
Microsoft 1.5902 2010.07.06 Virus:Win32/Luder.B
NOD32 5257 2010.07.07 Win32/Patched.A
Norman 6.05.11 2010.07.06 –
nProtect 2010-07-06.01 2010.07.07 Virus/W32.Texel
Panda 10.0.2.7 2010.07.06 W32/Patchlog.L
PCTools 7.0.3.5 2010.07.07 Malware.Whybo
Rising 22.55.02.03 2010.07.07 Win32.KLdown.b
Sophos 4.54.0 2010.07.07 Troj/Luder-A
Sunbelt 6554 2010.07.07 Virus.Win32.Luder.b (v)
Symantec 20101.1.0.89 2010.07.07 W32.Whybo!inf
TheHacker 6.5.2.1.309 2010.07.06 W32/WBoy.A
TrendMicro 9.120.0.1004 2010.07.07 PE_LUDER.CH
TrendMicro-HouseCall 9.120.0.1004 2010.07.07 PE_LUDER.CH
VBA32 3.12.12.5 2010.07.05 Virus.Win32.Luder.B
ViRobot 2010.6.29.3912 2010.07.07 Win32.Patched.A
VirusBuster 5.0.27.0 2010.07.06 Trojan.Starter.AH
Additional information
File size: 115200 bytes
MD5…: dd0799e2c0072d697decbcd525c6e7e1
SHA1..: cabcbc4f33020347809fd5e8b0aa3f6bac24942d
Hemos visto que McAfee los limpia perfectamente.

Lo malo con esto es que los ficheros a los que llama son variables, pudiendo estar ubicados además en cualquier carpeta, por lo que aun eliminando el “lanzador” el fichero malware propiamente dicho, persistirá en el ordenador a la espera de que algo o alguien lo ejecute…

Así pues si se detecta y elimina la infección de cualquiera de los nombres indicados, aparte de desinfectarlo, conviene saber que existirá algun fichero malware en cualquier carpeta, que aunque no lanzado ya automaticamente si se ha limpiado la modificación de los lanzadores, puede ser ejecutado manualmente y con ello volver a crear mas ficheros lanzadores y mas malwares ejecutados por ellos …

Los ficheros “lanzadores” modificados mantienen la misma fecha y tamaño, ya que la modificación la hacen en zonas nulas, por lo que solo la modificación interior los delata, y los “lanzados”, si bien podría saberse ruta y nombre antes de la limpieza, una vez hecha esta ya se pierde la pista, aunque los ficheros malware siguen estando.

Si se detecta alguno de los nombres en cuestion, segun el antivirus utilizado, y tras limpiar los modificados persisten otras detecciones del mismo virus, señal que se está ejecutando el malware de alguna forma. En tal caso, antes de limpiarlos, enviarnos ficheros infectados con el W32/WBoy.a (o como lo llame el antvirus usado) y pedirnos saber el nombre del fichero que lanza, lo cual veremos comparandolo con el original (que de no tenerse se puede obtener limpiando el infectado, una vez hecha copia de seguridad del mismo para no perderlo), y asi encontrar el fichero malware para enviarnoslo tambien y poder controlarlo con nuestras utilidades, ademas de enviarlo a las casas antivirus para que lo controlen con las nuevas firmas de cada día.

En nuestro caso solo hemos detectado los lanzadores, sin poder determinar ni cuando ni por quien fueron infectados, ya que son muchas las muestras que nos llegan y procesan, y alguno de ellos pudiera ser el causante, y si bien controlado y eliminado, hubieran podido quedar los lanzadores como resto y ser los que ahora comentamos.

Otra historia mas a tener en cuenta…

saludos

ms, 7-7-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies