Nuevo ROOTKIT ZBOT que solo es detectado actualmente por un 39 % de los antivirus (y causa el doble acento)

Publicado el 29 junio 2010 ¬ 17:31 pmh.mscComentarios desactivados en Nuevo ROOTKIT ZBOT que solo es detectado actualmente por un 39 % de los antivirus (y causa el doble acento)

Casi todos los ZBOT causan como efecto colateral el doble acento cuando se escribe en Word i con el Notepad, y este es uno mas, pero este es atípico al cargarse como un Shell del EXPLORER, por lo que el McAfee indica tener infectada la memoria del WINLOGON.EXE, si bien el fichero malware es un REGEDITLIB32.EXE que se oculta invisible en la carpeta de C:\windows\

La linea de carga en el registro es F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\regeditlib32.exe

Lógicamente no se debe eliminar dicha linea sino restaurarla y dejarla solo con la carga del EXPLORER.EXE, pues de lo contrario encontraría a faltar dicho fichero y no se ejecutaría el EXPLORER

El analisis ONLINE del fichero muestra los antivirus que lo detectan actualmente:
Scanned time   : 2010/06/29 16:24:34 (CEST)
Scanner results: 39% Escaner (14/36) encontró infección
File Name      : regeditlib32.exe.vir
File Size      : 493408 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : b7ab94b18b2f9b0338719952923f94d6
SHA1           : cf7281d93d05b78e9deaf0f4dd8b4e1506ad9141
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.0.0.13        20100629095023    2010-06-29  40.09  –
AhnLab V3      2010.06.18.01   2010.06.18        2010-06-18  40.09  –
AntiVir        8.2.4.2         7.10.8.215        2010-06-29  0.27   TR/Crypt.ZPACK.Gen
Antiy          2.0.18          20100629.4802970  2010-06-29  0.12   Trojan/Win32.Zbot.akih[SPY]
Arcavir        2009            201006281601      2010-06-28  0.04   Trojan.Spy.Zbot.Akih
Authentium     5.1.1           201006291133      2010-06-29  1.28   –
AVAST!         4.7.4           100629-0          2010-06-29  0.03   Win32:Rootkit-gen [Rtk]
AVG            8.5.793         271.1.1/2970      2010-06-29  0.24   PSW.Generic8.BRF
BitDefender    7.90123.6343629 7.32482           2010-06-29  3.78   Trojan.Spy.Wsnpoem.LZ
ClamAV         0.96.1          11278             2010-06-29  0.06   –
Comodo         3.13.579        5250              2010-06-29  40.09  –
CP Secure      1.3.0.5         2010.06.29        2010-06-29  0.09   –
Dr.Web         5.0.2.3300      2010.06.29        2010-06-29  8.53   Trojan.PWS.Panda.114
F-Prot         4.4.4.56        20100628          2010-06-28  1.32   –
F-Secure       7.02.73807      2010.06.29.04     2010-06-29  0.15   Trojan-Spy.Win32.Zbot.akih [AVP]
Fortinet       4.1.133         12.93             2010-06-28  40.09  –
GData          21.427/21.156   20100628          2010-06-28  40.09  –
ViRobot        20100628        2010.06.28        2010-06-28  40.09  –
Ikarus         T3.1.01.84      2010.06.29.76161  2010-06-29  6.97   Trojan-Spy.Win32.Zbot
JiangMin       13.0.900        2010.06.29        2010-06-29  40.09  –
Kaspersky      5.5.10          2010.06.29        2010-06-29  0.08   Trojan-Spy.Win32.Zbot.akih
KingSoft       2009.2.5.15     2010.6.29.18      2010-06-29  40.10  –
McAfee         5400.1158       6027              2010-06-28  23.86  –
Microsoft      1.5902          2010.06.29        2010-06-29  40.09  –
Norman         6.05.10         6.05.00           2010-06-28  10.02  W32/Suspicious_Gen2.BDZPC
Panda          9.05.01         2010.06.27        2010-06-27  40.09  –
Trend Micro    9.120-1004      7.274.12          2010-06-29  0.03   TSPY_ZBOT.SMRC
Quick Heal     10.00           2010.06.29        2010-06-29  40.09  –
Rising         20.0            22.54.00.04       2010-06-28  40.09  –
Sophos         3.07.1          4.54              2010-06-29  3.64   Mal/Zbot-O
Sunbelt        3.9.2426.2      6508              2010-06-25  40.09  –
Symantec       1.3.0.24        20100615.005      2010-06-15  103.58 –
nProtect       20100628.01     8838129           2010-06-28  40.09  –
The Hacker     6.5.2.0         v00305            2010-06-27  40.09  –
VBA32          3.12.12.5       20100629.0850     2010-06-29  6.43   BScope.Malware-Cryptor.Vals.22
VirusBuster    4.5.11.10       10.126.108/20420182010-06-29  2.71   –

A partir del ELISTARA de hoy, 21.26 ya se controla esta nueva variante, se elimina el fichero y se restaura adecuadamente la clave en cuestión

Recordamos que lo malo de los Rootkits es que cuando están en uso se ocultan y dificultan su detección y eliminación, y por suerte los vamos detectando por la anomalía (BUG) del doble acento, lo cual en paises de habla inglesa, al no acentuar, pasan mas desapercibidos y se expanden con mas facilidad, suerte que tenemos de usar acentos !

Y recordar que cuando está en uso, el VirusScan de McAfee lo detecta como infeccion en memoria del WINLOGON.EXE debido a que la gestión del Shell del EXPLORER la realiza el WINLOGON, pero una vez aislado vemos que no lo detectan, razon por la que enviamos muestra a McAfee para que lo añadan en proximos DAT.

saludos

ms, 29-6-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies