Nuevo ROOTKIT ZBOT que solo es detectado actualmente por un 39 % de los antivirus (y causa el doble acento)
Casi todos los ZBOT causan como efecto colateral el doble acento cuando se escribe en Word i con el Notepad, y este es uno mas, pero este es atípico al cargarse como un Shell del EXPLORER, por lo que el McAfee indica tener infectada la memoria del WINLOGON.EXE, si bien el fichero malware es un REGEDITLIB32.EXE que se oculta invisible en la carpeta de C:\windows\
La linea de carga en el registro es F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\regeditlib32.exe
Lógicamente no se debe eliminar dicha linea sino restaurarla y dejarla solo con la carga del EXPLORER.EXE, pues de lo contrario encontraría a faltar dicho fichero y no se ejecutaría el EXPLORER
El analisis ONLINE del fichero muestra los antivirus que lo detectan actualmente:
Scanned time : 2010/06/29 16:24:34 (CEST)
Scanner results: 39% Escaner (14/36) encontró infección
File Name : regeditlib32.exe.vir
File Size : 493408 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : b7ab94b18b2f9b0338719952923f94d6
SHA1 : cf7281d93d05b78e9deaf0f4dd8b4e1506ad9141
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.0.0.13 20100629095023 2010-06-29 40.09 –
AhnLab V3 2010.06.18.01 2010.06.18 2010-06-18 40.09 –
AntiVir 8.2.4.2 7.10.8.215 2010-06-29 0.27 TR/Crypt.ZPACK.Gen
Antiy 2.0.18 20100629.4802970 2010-06-29 0.12 Trojan/Win32.Zbot.akih[SPY]
Arcavir 2009 201006281601 2010-06-28 0.04 Trojan.Spy.Zbot.Akih
Authentium 5.1.1 201006291133 2010-06-29 1.28 –
AVAST! 4.7.4 100629-0 2010-06-29 0.03 Win32:Rootkit-gen [Rtk]
AVG 8.5.793 271.1.1/2970 2010-06-29 0.24 PSW.Generic8.BRF
BitDefender 7.90123.6343629 7.32482 2010-06-29 3.78 Trojan.Spy.Wsnpoem.LZ
ClamAV 0.96.1 11278 2010-06-29 0.06 –
Comodo 3.13.579 5250 2010-06-29 40.09 –
CP Secure 1.3.0.5 2010.06.29 2010-06-29 0.09 –
Dr.Web 5.0.2.3300 2010.06.29 2010-06-29 8.53 Trojan.PWS.Panda.114
F-Prot 4.4.4.56 20100628 2010-06-28 1.32 –
F-Secure 7.02.73807 2010.06.29.04 2010-06-29 0.15 Trojan-Spy.Win32.Zbot.akih [AVP]
Fortinet 4.1.133 12.93 2010-06-28 40.09 –
GData 21.427/21.156 20100628 2010-06-28 40.09 –
ViRobot 20100628 2010.06.28 2010-06-28 40.09 –
Ikarus T3.1.01.84 2010.06.29.76161 2010-06-29 6.97 Trojan-Spy.Win32.Zbot
JiangMin 13.0.900 2010.06.29 2010-06-29 40.09 –
Kaspersky 5.5.10 2010.06.29 2010-06-29 0.08 Trojan-Spy.Win32.Zbot.akih
KingSoft 2009.2.5.15 2010.6.29.18 2010-06-29 40.10 –
McAfee 5400.1158 6027 2010-06-28 23.86 –
Microsoft 1.5902 2010.06.29 2010-06-29 40.09 –
Norman 6.05.10 6.05.00 2010-06-28 10.02 W32/Suspicious_Gen2.BDZPC
Panda 9.05.01 2010.06.27 2010-06-27 40.09 –
Trend Micro 9.120-1004 7.274.12 2010-06-29 0.03 TSPY_ZBOT.SMRC
Quick Heal 10.00 2010.06.29 2010-06-29 40.09 –
Rising 20.0 22.54.00.04 2010-06-28 40.09 –
Sophos 3.07.1 4.54 2010-06-29 3.64 Mal/Zbot-O
Sunbelt 3.9.2426.2 6508 2010-06-25 40.09 –
Symantec 1.3.0.24 20100615.005 2010-06-15 103.58 –
nProtect 20100628.01 8838129 2010-06-28 40.09 –
The Hacker 6.5.2.0 v00305 2010-06-27 40.09 –
VBA32 3.12.12.5 20100629.0850 2010-06-29 6.43 BScope.Malware-Cryptor.Vals.22
VirusBuster 4.5.11.10 10.126.108/20420182010-06-29 2.71 –
A partir del ELISTARA de hoy, 21.26 ya se controla esta nueva variante, se elimina el fichero y se restaura adecuadamente la clave en cuestión
Recordamos que lo malo de los Rootkits es que cuando están en uso se ocultan y dificultan su detección y eliminación, y por suerte los vamos detectando por la anomalía (BUG) del doble acento, lo cual en paises de habla inglesa, al no acentuar, pasan mas desapercibidos y se expanden con mas facilidad, suerte que tenemos de usar acentos !
Y recordar que cuando está en uso, el VirusScan de McAfee lo detecta como infeccion en memoria del WINLOGON.EXE debido a que la gestión del Shell del EXPLORER la realiza el WINLOGON, pero una vez aislado vemos que no lo detectan, razon por la que enviamos muestra a McAfee para que lo añadan en proximos DAT.
saludos
ms, 29-6-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.