Variante de BlackEnergy oculto por un RootKit (BlackEnergy-2) – Robapasswords y destruye información-
Esta variante del troyano BlackEnergy es una reescritura completa del troyano BlackEnergy original que se utilizó en el conflicto entre Rusia y Georgia en 2008.
En todos ellos actúa un rootkit que se encarga de ocultar partes del malware en el disco y en la memoria. El rootkit es también el responsable de inyectar una DLL en svchost.exe
La DLL principal es responsable de cargar y ejecutar varios plugins.
En el momento del análisis de los siguientes plugins que se han detectado han sido::
· DDoS – plugin para generar tráfico de denegación de servicios frente a un objetivo a través de TCP, UDP, ICMP y HTTP
· http – plugin para usar Internet Explorer saturando un objetivo con las solicitudes HTTP
· SYN, synflood – Plugin para saturar un objetivo con las peticiones TCP SYN.
· iBank, iBank a inyectar – Plugin para robar datos bancarios de los equipos infectados
· destruccion – plugin para inutilizar la máquina infectada por sobrescribir con datos aleatorios las unidades de disco duro fijo . Esto podría ser utilizado para evitar que los usuarios pudieran acceder a la banca en línea después de haber sido robados sus credenciales (contraseñas bancarias)
· spm_v1 – plugin para enviar spam (spambot)
Se supone que esta red de Botnet está controlada desde Rusia y Ucraina, como puede verse en la informacion en ingles original al respecto: http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487
Se controla con el VirusScan de McAfee a partir de los DAT del VirusScan 5914 del ppdo lunes (8/3/2010) :
BlackEnergy
Type
Trojan
SubType
Dropper
Discovery Date
03/05/2010
Length
Minimum DAT
5914 (03/08/2010)
Updated DAT
5914 (03/08/2010)
Minimum Engine
5.4.00
Description Added
03/08/2010
Description Modified
03/08/2010 11:07 PM (PT)
Fuente
Comentario:
Como sea que destruye los datos del ordeandor, para evitar que el usuario “robado” pueda conectarse con el banco para avisar, podríamos decir aquello de “CORNUDO Y APALEADO“, si se detecta, mas que desinfectarlo, ya que dado lo indicado se acabará por formatearlo, conviene saber lo que es y hace, para informar al banco y evitar daños mayores !!!
saludos
ms, 11-3-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.