Variante de BlackEnergy oculto por un RootKit (BlackEnergy-2) – Robapasswords y destruye información-

Publicado el 11 marzo 2010 ¬ 16:18 pmh.mscComentarios desactivados en Variante de BlackEnergy oculto por un RootKit (BlackEnergy-2) – Robapasswords y destruye información-

Esta variante del troyano BlackEnergy es una reescritura completa del troyano BlackEnergy original que se utilizó en el conflicto entre Rusia y Georgia en 2008.

En todos ellos actúa un rootkit que se encarga de ocultar partes del malware en el disco y en la memoria. El rootkit es también el responsable de inyectar una DLL en svchost.exe
La DLL principal es responsable de cargar y ejecutar varios plugins.

En el momento del análisis de los siguientes plugins que se han detectado han sido::

·         DDoS – plugin para generar tráfico de denegación de servicios frente a un objetivo a través de TCP, UDP, ICMP y HTTP

·         http – plugin para usar Internet Explorer saturando un objetivo con las solicitudes HTTP

·         SYN, synflood – Plugin para saturar un objetivo con las peticiones TCP SYN.

·         iBank, iBank a inyectar – Plugin para robar datos bancarios de los equipos infectados

·         destruccion – plugin para inutilizar la máquina infectada por sobrescribir con datos aleatorios las unidades de disco duro fijo . Esto podría ser utilizado para evitar que los usuarios pudieran acceder a la banca en línea después de haber sido robados sus credenciales (contraseñas bancarias)

·         spm_v1 – plugin para enviar spam (spambot)

Se supone que esta red de Botnet está controlada desde Rusia y Ucraina, como puede verse en la informacion en ingles original al respecto: http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487
Se controla con el VirusScan de McAfee a partir de los DAT del VirusScan 5914 del ppdo lunes (8/3/2010) :

BlackEnergy

Type
    Trojan
SubType
    Dropper
Discovery Date
    03/05/2010
Length
Minimum DAT
    5914 (03/08/2010)
Updated DAT
    5914 (03/08/2010)
Minimum Engine
    5.4.00
Description Added
    03/08/2010
Description Modified
    03/08/2010 11:07 PM (PT)
 Fuente

Comentario:

Como sea que destruye los datos del ordeandor, para evitar que el usuario “robado” pueda conectarse con el banco para avisar, podríamos decir aquello de “CORNUDO Y APALEADO“, si se detecta, mas que desinfectarlo, ya que dado lo indicado se acabará por formatearlo, conviene saber lo que es y hace, para informar al banco y evitar daños mayores !!!

saludos

ms, 11-3-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies