Nuevos troyanos RootKit ZBOT que llegan por mail, uno como FOTOS, y el otro aun no detectado por ningun antivirus del VirusTotal

Nuevo malware RootKit ZBOT que llega en un mail indicando :

_______
Asunto: Fw: fotos
Hola, te envío fotos nuevas (2-3 de ellos son demasiado franca, pero tú sabes que yo no soy tímido ;-)). Captura: fotos

_______
Recibido el mail con EL LINK  “FOTOS”  informamos del analisis correspondiente:

Al pulsar en “Fotos” del final del mail, nos ha interceptado el SITEADVISOR de McAfee , evitando que accedieramos a la web al respecto, por estar en lista negra

Al final del mail, en “fotos” el link apunta a :  http://erapehewu.bigheadhosting.net/<interceptado>.html
Evidentemente hemos ejecutado el link desde una máquina con conexion directa sin protección, para conseguir los ficheros que se descarguen con ello y vemos que accede a esta otra web:

www.1foxfiisa.com/<interceptado>

que indica que no se tiene la última versión de Macromedia Flash, pantalla que forma parte del malware …
esta última URL es de Rumania : 1foxfiisa.com. RO Romania 18 Galati Galati  45.4500 28.0500 WorldCALL Multimedia Ltd

Dicha URL tambien es interceptada por el SITEADVISOR.

Y vemos que siguiendo la cadena de ejecuciones y links de este mail, cuando presenta la pantalla de :

  “Usted no tiene la ultima versión de Macromedia Flash Player.
   Este sitio web utiliza software de Macromedia®FlashTM.
   Usted tiene una versión antigua de Macromedia Flash Player
   que no puede reproducir el contenido de nuestor sitio web.

   ¿Desea descargar e instalar la ultima versión ahora?
    Esto solo tomara un momento.

   Macromedia y Flash son marcas registradas de Macromedia, Inc.
 

ofrece un botón de descarga que apunta a : “http://1foxfiisa.com/<interceptado>/Update.exe”
y la descarga de este UPDATE.EXE instala un malware, que en este caso ha resultado ser un RootKit de la familia ZBOT :

Análisis del archivo UPDATE.EXE recibido el 2010.05.11 06:08:12 (UTC)
Estado actual: análisis terminado

Resultado: 30/41 (73.17%)
 Compactar   Imprimir resultados  

Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.50 2010.05.10 Gen.Variant!IK
AhnLab-V3 2010.05.11.00 2010.05.10 Win-Trojan/Zbot.162816.B
AntiVir 8.2.1.236 2010.05.10 TR/PSW.Zbot.333
Antiy-AVL 2.0.3.7 2010.05.10 –
Authentium 5.2.0.5 2010.05.11 –
Avast 4.8.1351.0 2010.05.10 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.05.10 Win32:Rootkit-gen
AVG 9.0.0.787 2010.05.11 Crypt.VIG
BitDefender 7.2 2010.05.11 Rootkit.35703
CAT-QuickHeal 10.00 2010.05.11 –
ClamAV 0.96.0.3-git 2010.05.11 –
Comodo 4821 2010.05.11 TrojWare.Win32.TrojanSpy.Zbot.Gen
DrWeb 5.0.2.03300 2010.05.11 Trojan.PWS.Panda.302
eSafe 7.0.17.0 2010.05.10 Win32.Kryptik.Edz
eTrust-Vet 35.2.7478 2010.05.10 –
F-Prot 4.5.1.85 2010.05.10 –
F-Secure 9.0.15370.0 2010.05.11 Rootkit.35703
Fortinet 4.1.133.0 2010.05.10 –
GData 21 2010.05.11 Rootkit.35703
Ikarus T3.1.1.84.0 2010.05.11 Gen.Variant
Jiangmin 13.0.900 2010.05.11 Trojan/Agent.dupv
Kaspersky 7.0.0.125 2010.05.11 –
McAfee 5.400.0.1158 2010.05.11 –
McAfee-GW-Edition 2010.1 2010.05.10 Artemis!EBD16173578E
Microsoft 1.5703 2010.05.11 PWS:Win32/Zbot
NOD32 5103 2010.05.10 a variant of Win32/Kryptik.EDZ
Norman 6.04.12 2010.05.10 W32/Zbot.SRX
nProtect 2010-05-10.01 2010.05.10 Gen:Variant.FakeInit.4
Panda 10.0.2.7 2010.05.10 Generic Rootkit
PCTools 7.0.3.5 2010.05.11 Downloader.Generic
Prevx 3.0 2010.05.11 High Risk Rootkit
Rising 22.47.01.03 2010.05.11 Trojan.Win32.Generic.52033A21
Sophos 4.53.0 2010.05.11 Troj/Zbot-OT
Sunbelt 6289 2010.05.11 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.11 Downloader
TheHacker 6.5.2.0.277 2010.05.10 –
TrendMicro 9.120.0.1004 2010.05.11 TSPY_ZBOT.WBG
TrendMicro-HouseCall 9.120.0.1004 2010.05.11 TSPY_ZBOT.WBG
VBA32 3.12.12.4 2010.05.06 –
ViRobot 2010.5.11.2309 2010.05.11 Trojan.Win32.Zbot.162816.A
VirusBuster 5.0.27.0 2010.05.10 Trojan.PWS.Zbot.AAWF
Información adicional
File size: 162816 bytes
MD5   : ebd16173578e298c86c74d1bf3b2e619
SHA1  : c915aa4ad8f99cad3ee7c9622691ac8c18b67af3
Vemos que McAfee lo detecta heuristicamente con el motor Artemis, pero para su eliminación, implementamos su control en la versión de hoy del ELISTARA 20.92, y descargando en una misma carpeta dicho ELISTARA y el ELINOTIF.DLL, tras lanzar el ELISTARA y reiniciar, eliminará el malware y restaurará las claves alteradas.

Ya de “aparca” con el ELIMD5 entrándole cualquiera de los dos hashes indicados al final del informe, por ejemplo:

ebd16173578e298c86c74d1bf3b2e619 , se detectaría y aparcaría el fichero malware, poniendolo en carpeta C:\muestras,

para que no se ejecutara a partir del proximo reinicio, pero la eliminacion total deberá hacerse con la nueva versión del ELISTARA acompañado por el ELINOTIF, segun indicado.

Recomendamos el uso del SITEADVISOR de McAfee , que nos ha interceptado todos los accesos maliciosos de este malware, tanto en el primer acceso al link de FOTOS, como al del falso “update” del Macromedia Flash.

saludos

ms, 11-5-2010

NOTA:

Los ROOTKits ZBOT están muy de moda, hoy mismo hemos recibido muestra pedida por el ELISTARA no detectada por ningun antivirus del VirusTotal ! :

File SDRA64.EXE.Muestra_EliStartPage_v received on 2010.05.11 09:13:42 (UTC)

Result: 0/41 (0.00%)

File size: 144896 bytes
MD5   : 730454c86996f3d48e1f4a33aac7c2a6
SHA1  : 76ce1c48531aade779ddc2ddd332dfba32f0ff0d
que tambien controlaremos con el ELISTARA+ELINOTIF a partir de hoy.   ms.