variante de RootKit ZBOT polimorfico que actualmente no es detectado casi por ningun antivirus

Publicado el 27 septiembre 2010 ¬ 12:12 pmh.mscComentarios desactivados en variante de RootKit ZBOT polimorfico que actualmente no es detectado casi por ningun antivirus

Dos variantes de un RootKit ZBOT detectadas por la heuristica del ELISTARA, casi no controladas por ningun antivirus(solo por 2) pasan a ser controladas especificamente A PARTIR del ELISTARA 21.69

Filename: YFZED.EXE.Muestra EliStartPage v21.68
Submission date: 2010-09-27 09:02:28 (UTC)
Current status: finished
Result: 2 /43 (4.7%)
 VT Community
Kaspersky 7.0.0.125 2010.09.27 Trojan-Spy.Win32.Zbot.aphf
Prevx 3.0 2010.09.27 Medium Risk Malware

MD5   : f8bf942651b95e3e019ba60f4efb967f
SHA1  : 5988549e01a2fcbe367a7a4f7d3a458edfa50499

File size : 138752 bytes

sigcheck:
publisher….: XJmcug
copyright….: nWxQtPGu
product……: hgLsTOb
description..: FXAFBpgt
original name: sutK.exe

___________

yu este otro:
File name: APDA.EXE.Muestra EliStartPage v21.68
Submission date: 2010-09-27 08:56:38 (UTC)
Current status: finished
Result: 2 /43 (4.7%)

Kaspersky 7.0.0.125 2010.09.27 Trojan-Spy.Win32.Zbot.aphf
Prevx 3.0 2010.09.27 Medium Risk Malware

MD5   : a07fcacb80c227012dd7016795508571
SHA1  : 144968ef70a58b58dbcf4019fb0d0eb89e22fb47

File size : 138752 bytes
sigcheck:
publisher….: XJmcug
copyright….: nWxQtPGu
product……: hgLsTOb
description..: FXAFBpgt
original name: sutK.exe

 
Fijarse que aun siendo originalmente el mismo fichero, sutK.exe , el MD5 es diferente entre las dos muestras, por lo que entendemos que es polimorfico y va cambiando cada vez que infecta, razon por la que la inmensa mayoría de antivirus no lo detectan, aunque sí como sospechoso el ELISTARA, gracias a su detección heurística.

Ya de entrada con el ELISTARA actual es aparcado a C:\muestras, igual que las variantes del mismo que vayan apareciendo, de forma que en el siguiente arranque ya no incordiarán, pero es de temer que vayan expandiendose en ordenadores hasta que los antivirus no detecten el sistema de encriptación polimorfica que tienen.

Se envia muestra a McAfee indicándole los pormenores del caso para que puedan pasar a controlarlo.

saludos

ms, 27-9-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies