Otro maldito RootKit que mas vale no entrar en contacto con él… ROOTKIT BUBNIX
Analisis del VirusTotal sobre fichero descargado por el BREDOLAB:
File qhemaz_sys received on 2010.03.11 15:38:20 (UTC)
Result: 22/42 (52.39%)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.11 –
AhnLab-V3 5.0.0.2 2010.03.11 Win-Trojan/Rootkit.802304
AntiVir 8.2.1.180 2010.03.11 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2010.03.11 Trojan/Win32.Agent.gen
Authentium 5.2.0.5 2010.03.11 –
Avast 4.8.1351.0 2010.03.10 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.03.10 Win32:Rootkit-gen
AVG 9.0.0.787 2010.03.11 Rootkit-Agent.EG
BitDefender 7.2 2010.03.11 Rootkit.Nixoa.A
CAT-QuickHeal 10.00 2010.03.11 –
ClamAV 0.96.0.0-git 2010.03.11 –
Comodo 4225 2010.03.11 –
DrWeb 5.0.1.12222 2010.03.11 –
eSafe 7.0.17.0 2010.03.11 Win32.TRRootkit
eTrust-Vet 35.2.7354 2010.03.11 –
F-Prot 4.5.1.85 2010.03.11 –
F-Secure 9.0.15370.0 2010.03.11 Gen:Rootkit.Nixoa.1
Fortinet 4.0.14.0 2010.03.09 –
GData 19 2010.03.11 Rootkit.Nixoa.A
Ikarus T3.1.1.80.0 2010.03.11 –
Jiangmin 13.0.900 2010.03.11 –
K7AntiVirus 7.10.994 2010.03.10 –
Kaspersky 7.0.0.125 2010.03.11 Rootkit.Win32.Agent.bdov
McAfee 5916 2010.03.10 Generic.dx!ozq
McAfee+Artemis 5916 2010.03.10 Generic.dx!ozq
McAfee-GW-Edition 6.8.5 2010.03.11 Trojan.Rootkit.Gen
Microsoft 1.5502 2010.03.11 Trojan:WinNT/Bubnix.gen!A
NOD32 4935 2010.03.11 a variant of Win32/Rootkit.Kryptik.AF
Norman 6.04.08 2010.03.11 –
nProtect 2009.1.8.0 2010.03.11 –
Panda 10.0.2.2 2010.03.10 –
PCTools 7.0.3.5 2010.03.11 –
Prevx 3.0 2010.03.11 Medium Risk Malware
Rising 22.38.03.04 2010.03.11 –
Sophos 4.51.0 2010.03.11 Mal/SysPk-A
Sunbelt 5824 2010.03.11 –
Symantec 20091.2.0.41 2010.03.11 Hacktool.Rootkit
TheHacker 6.5.2.0.230 2010.03.11 Trojan/Kryptik.af
TrendMicro 9.120.0.1004 2010.03.11 TROJ_BUBNIX.SMA
VBA32 3.12.12.2 2010.03.11 –
ViRobot 2010.3.11.2222 2010.03.11 Trojan.Win32.S.RT-Agent.802304
VirusBuster 5.0.27.0 2010.03.11 –
Additional information
File size: 802304 bytes
MD5…: 1b3e0a85888a07b0717d5c3c151bdc3f
SHA1..: 0d7076e8c085c451a2bdcda4dd36a4e0bff03795
Este troyano permite llevar a cabo intrusiones y ataques, captura de pantallas, recogida de datos personales, etc.
Cuando está residente memoria, no se deja acceder ni para leer… y cuando no lo está, pero está instalado en el disco duro, no se deja ni mover, ni copiar, ni eliminar, claro ! -(incluso arrancando en consola de recuperacion !!!…) Los hemos visto duros, pero no tanto !
Hemos visto una puerta trasera, vamos a seguir por ahí, pero vamos, mejor no infectarse !!!
NOTA: Al parecer actualmente es descargado e instalado por el downloader BREDOLAB, del que tenemos nuevas variantes a diario.
Mucho cuidado al navegar por según qué webs…
saludos
ms, 11-3-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.