Nuevo RootKit variante de ZBOT, apenas controlado, detectado por el ELISTARA
Recibido de un cliente muestra para analizar, pedida por el ELISTARA, vemos que es un ROOTKIT cuyo control y eliminación pasamos a implementar en el ELISTARA de hoy (20.75) -con el ELINOTIF.DLL complementario-
Dado que apenas lo detectan actualmente los antivirus, avisamos al respecto:
File MSRIOH32.EXE.Muestra_EliStartPage received on 2010.04.15 15:55:45 (UTC)
Current status: finished
Result: 5/40 (12.50%)
Compact Print results Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.04.15 –
AhnLab-V3 5.0.0.2 2010.04.15 –
AntiVir 7.10.6.109 2010.04.15 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.04.15 –
Authentium 5.2.0.5 2010.04.15 W32/Zbot.AB.gen!Eldorado
Avast 4.8.1351.0 2010.04.14 –
Avast5 5.0.332.0 2010.04.14 –
AVG 9.0.0.787 2010.04.15 –
BitDefender 7.2 2010.04.15 –
CAT-QuickHeal 10.00 2010.04.15 –
ClamAV 0.96.0.3-git 2010.04.15 –
Comodo 4606 2010.04.15 –
DrWeb 5.0.2.03300 2010.04.15 –
eSafe 7.0.17.0 2010.04.14 –
eTrust-Vet 35.2.7427 2010.04.15 –
F-Prot 4.5.1.85 2010.04.15 W32/Zbot.AB.gen!Eldorado
F-Secure 9.0.15370.0 2010.04.15 –
Fortinet 4.0.14.0 2010.04.15 –
GData 19 2010.04.15 –
Ikarus T3.1.1.80.0 2010.04.15 –
Jiangmin 13.0.900 2010.04.15 –
Kaspersky 7.0.0.125 2010.04.15 –
McAfee 5.400.0.1158 2010.04.15 –
McAfee-GW-Edition 6.8.5 2010.04.15 Trojan.Dropper.Gen
Microsoft 1.5605 2010.04.15 –
NOD32 5031 2010.04.15 –
Norman 6.04.11 2010.04.15 –
nProtect 2010-04-15.02 2010.04.15 –
Panda 10.0.2.7 2010.04.15 Suspicious file
PCTools 7.0.3.5 2010.04.15 –
Prevx 3.0 2010.04.15 –
Rising 22.43.03.04 2010.04.15 –
Sophos 4.52.0 2010.04.15 –
Sunbelt 6179 2010.04.15 –
Symantec 20091.2.0.41 2010.04.15 –
TheHacker 6.5.2.0.262 2010.04.15 –
TrendMicro 9.120.0.1004 2010.04.15 –
VBA32 3.12.12.4 2010.04.15 –
ViRobot 2010.4.15.2278 2010.04.15 –
VirusBuster 5.0.27.0 2010.04.15 –
Additional information
File size: 313856 bytes
MD5 : aef6dad31fb4095e21c726507bd32c94
SHA1 : e0b221dc50c69f20c3d5b0ac268b8def848c53f3
Es sabido que los RootKits ocultan las claves que utilizan, asi como las tareas y los ficheros relacionados, por lo que su detección inicial es compleja. En este casi es gracias a la heurística del ELISTARA que se ha detectado una muestra sospechosa y se ha pedido que se nos enviara para analizar, con lo cual se ha monitorizado y visto lo que hacía, y con ello se ha fijado su maliciosidad y consecuente control y eliminacion con la siguiente version del ELISTARA.
saludos
ms, 15-4-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.