Rootkit que es descargado por un malware que infecta los ordenadores al pulsar en links obtenidos con el Google

Publicado el 19 mayo 2010 ¬ 21:21 pmh.mscComentarios desactivados en Rootkit que es descargado por un malware que infecta los ordenadores al pulsar en links obtenidos con el Google

A raiz de no saber si el dominio de una web de una tienda de Barcelona (de gran solera en el sector)  era “.es”, “.com”, “.cat”, etc, se me ocurrió buscarla con el Google, y luego pulsar en uno de los links que viera que me conducían a ella…

Así lo hice y vi que era “.es” , y aunque hubiera podido entrar en el navegador el nombre de la empresa y “.es”, pulsé sobre el primer link que teoricamente conducía al mismo sitio, y además ello es lo que aparecía en  la ventanita inferior izquierda.

Pues sorpresa !  Tras lo indicado empezó a salirme una ventana indicandome que mi ordenador estaba infectado y por mas que intentaba salir de ella, ya entendiendo que se trataba de un FAKE ALERT, ví que solo consiguía empezar un supuesto escaneo y ofrecer varios falsos avisos de virus, que realmente no existían, claro.

Quienes ya se hayan encontrado con ello navegando por internet, ya sabrán  la pesadumbre de sentirte agredido ante tal intrusión de un  FAKE ALERT, pero aunque no es la primera vez que navegando me encuentro con ellos y estando muy familiarizado con muchas variantes de FAKE ALERTS, ésta sorprende cuando la herramienta que ofrece descargar para eliminar el virus, no es ningun falso antivirus, sino un SETUP.EXE que si se descarga y ejecuta, ni queda residente a la vista, ni  pide comprar ninguna FAKE AV, y además el fichero ejecutado desaparece al cabo de unos segundos… pero esto no es todo !

Lo que realmente hace es descargar y ejecutar un ROOTKIT ZBOT, de una variante practicamente desconocida por los antivirus actuales, y que solo la aparición del doble acento cuando se escribía una palabra acentuada, por ejemplo “cami´´on”, me alertó y sin ello no me hubiera despertado las sospechas… aunque luego ya se empieza a notar que va mas lento, síntoma típico de los incordios víricos.

Bueno, pues si bien el primer malware ya lo hemos podido controlar con el ELISTARA 20.98 de hoy, el segundo nos ha costado mas y hasta última hora no lo hemos obtenido, por lo que pasaremos a controlarlo mañana, con el ELISTARA 20.99 (aunque ya lo aparcamos y dejamos inactivo con el ELISTARA+ELINOTIF actuales)

Los preanalisis con el VirusTotal, ofrecen los siguientes resultados:

El primero, que ingresa por entrar en el link ofrecido por el Google:

________

 File setup.exe received on 2010.05.19 09:56:44 (UTC)

Result: 13/41 (31.71%)

Print results Print results
Antivirus  Version  Last Update  Result
a-squared  4.5.0.50  2010.05.10  –
AhnLab-V3  2010.05.19.03  2010.05.19  Trojan/Win32.FakeAV
AntiVir  8.2.1.242  2010.05.19  TR/Agent.82944.1
Antiy-AVL  2.0.3.7  2010.05.19  –
Authentium  5.2.0.5  2010.05.19  –
Avast  4.8.1351.0  2010.05.18  –
Avast5  5.0.332.0  2010.05.18  –
AVG  9.0.0.787  2010.05.19  FakeAV.BQU
BitDefender  7.2  2010.05.19  –
CAT-QuickHeal  10.00  2010.05.19  –
ClamAV  0.96.0.3-git  2010.05.19  –
Comodo  4882  2010.05.19  –
DrWeb  5.0.2.03300  2010.05.19  –
eSafe  7.0.17.0  2010.05.17  –
eTrust-Vet  35.2.7498  2010.05.19  –
F-Prot  4.5.1.85  2010.05.18  –
F-Secure  9.0.15370.0  2010.05.19  Trojan-Downloader:W32/FraudLoad.GJW
Fortinet  4.1.133.0  2010.05.19  –
GData  21  2010.05.19  –
Ikarus  T3.1.1.84.0  2010.05.19  Trojan.Win32.FakeAV
Jiangmin  13.0.900  2010.05.19  –
Kaspersky  7.0.0.125  2010.05.19  Trojan.Win32.FakeAV.or
McAfee  5.400.0.1158  2010.05.19  –
McAfee-GW-Edition  2010.1  2010.05.19  Heuristic.BehavesLike.Win32.ModifiedUPX.C
Microsoft  1.5802  2010.05.18  TrojanDownloader:Win32/Ufraie.A
NOD32  5127  2010.05.19  –
Norman  6.04.12  2010.05.18  –
nProtect  2010-05-19.01  2010.05.19  –
Panda  10.0.2.7  2010.05.19  –
PCTools  7.0.3.5  2010.05.19  Trojan.FakeAlert
Prevx  3.0  2010.05.19  Medium Risk Malware Dropper
Rising  22.48.02.04  2010.05.19  –
Sophos  4.53.0  2010.05.19  –
Sunbelt  6322  2010.05.19  Trojan.Win32.Generic!BT
Symantec  20101.1.0.89  2010.05.19  –
TheHacker  6.5.2.0.281  2010.05.17  –
TrendMicro  9.120.0.1004  2010.05.19  TROJ_MALWARE.VTG
TrendMicro-HouseCall  9.120.0.1004  2010.05.19  TROJ_MALWARE.VTG
VBA32  3.12.12.5  2010.05.19  –
ViRobot  2010.5.19.2324  2010.05.19  –
VirusBuster  5.0.27.0  2010.05.18  –
Additional information
File size: 82944 bytes
MD5   : 9037891856ae93926fea1c23677a15a3
SHA1  : 50fc70b905e813b7ca35d4223da5289f98b245e6

__________

Y del ROOTKIT que descarga despues, y cuesta mas de detectar, este es el analisis:

__________

File SDRA64.EXE.Muestra_EliStartPage_v received on 2010.05.19 17:24:53 (UTC)
Current status: Loading … queued waiting scanning finished NOT FOUND STOPPED
Result: 5/41 (12.2%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 –
AhnLab-V3 2010.05.19.03 2010.05.19 –
AntiVir 8.2.1.242 2010.05.19 –
Antiy-AVL 2.0.3.7 2010.05.19 –
Authentium 5.2.0.5 2010.05.19 –
Avast 4.8.1351.0 2010.05.19 –
Avast5 5.0.332.0 2010.05.19 –
AVG 9.0.0.787 2010.05.19 –
BitDefender 7.2 2010.05.19 –
CAT-QuickHeal 10.00 2010.05.19 –
ClamAV 0.96.0.3-git 2010.05.19 –
Comodo 4887 2010.05.19 –
DrWeb 5.0.2.03300 2010.05.19 Trojan.PWS.Panda.302
eSafe 7.0.17.0 2010.05.17 –
eTrust-Vet 35.2.7498 2010.05.19 –
F-Prot 4.5.1.85 2010.05.19 –
F-Secure 9.0.15370.0 2010.05.19 –
Fortinet 4.1.133.0 2010.05.19 –
GData 21 2010.05.19 –
Ikarus T3.1.1.84.0 2010.05.19 PWS.Win32
Jiangmin 13.0.900 2010.05.19 –
Kaspersky 7.0.0.125 2010.05.19 –
McAfee 5.400.0.1158 2010.05.19 –
McAfee-GW-Edition 2010.1 2010.05.19 –
Microsoft 1.5802 2010.05.18 PWS:Win32/Zbot.gen!R
NOD32 5129 2010.05.19 a variant of Win32/Kryptik.ELR
Norman 6.04.12 2010.05.19 –
nProtect 2010-05-19.02 2010.05.19 –
Panda 10.0.2.7 2010.05.19 Suspicious file
PCTools 7.0.3.5 2010.05.19 –
Prevx 3.0 2010.05.19 –
Rising 22.48.02.04 2010.05.19 –
Sophos 4.53.0 2010.05.19 –
Sunbelt 6322 2010.05.19 –
Symantec 20101.1.0.89 2010.05.19 –
TheHacker 6.5.2.0.283 2010.05.19 –
TrendMicro 9.120.0.1004 2010.05.19 –
TrendMicro-HouseCall 9.120.0.1004 2010.05.19 –
VBA32 3.12.12.5 2010.05.19 –
ViRobot 2010.5.19.2324 2010.05.19 –
VirusBuster 5.0.27.0 2010.05.19 –
Additional information
File size: 137216 bytes
MD5…: 04657e686b962dd69e698ab91ab59bf9
SHA1..: 6ea673a5cf038e84e97dc1a744b15ff4e445b5af

___________

Con el ELISTARA + ELINOTIF.DLL en la misma carpeta, ya hoy se elimina el primero y se pide muestra y aparca el segundo, y mañana implementaremos su control y eliminación en la versión 20.99 del ELISTARA

Tenerlo en cuenta si aparecen los mensajes de detección de virus en vuestro ordenador, al entrar en una web, especialmente si es a través de un link del Google, Bing u otro buscador habitual.

saludos

ms, 19-5-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies