ALUREON, ROOTKIT QUE ESTA INFECTANDO EL MBR DE MUCHOS ORDENADORES

Estamos observando que en el MBR de muchos ordenadores, se inserta el codigo del ALUREON, y vemos que es causado por la descarga de un fichero cuya ejecucion crea temporales y modifica el codigo de dicho MBR, ademas de crear la contibuacion del codigo vírico en otra zona física del disco duro,

Lo malo es que al tener tecnicas stealth, de engaño u ocultamiento, en cuanto se reinicia el ordenador y se procesa el MBR, el virus queda residente en memoria ocultando el MBR infectado, por lo que es de dificil deteccion, aunque a ciegas lo podemos eliminar arrancando con el CD de instalacion y, desde consola de recuperacion, lanzar un FIXMBR, lo cual restaurará dicho código a la normalidad.

A partir del ELISTARA 22.77 de hoy, pasamos a controlar el ejecutable de marras por exploracion, además de eliminar los temprorales por accion directa, e incluso si se arranca desde otro medio o no hay el virus en memoria por cualquier otra causa, detecta y elimina dicho ALUREON del MBR y restaura el código correcto.

El resultado del preanalisis del fichero malicioso creador del ALUREON es:
File name: ALUREON.EXE
Submission date: 2011-03-09 10:21:16 (UTC)
Current status: queued queued analysing finished
Result: 28/ 42 (66.7%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.03.09.01 2011.03.09 Win-Trojan/Tdss.125952.OL
AntiVir 7.11.4.132 2011.03.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2011.03.09 –
Avast 4.8.1351.0 2011.03.09 Win32:Alureon-UC
Avast5 5.0.677.0 2011.03.09 Win32:Alureon-UC
AVG 10.0.0.1190 2011.03.08 Cryptic.CHD
BitDefender 7.2 2011.03.09 Gen:Variant.Bredo.24
CAT-QuickHeal 11.00 2011.03.09 –
ClamAV 0.96.4.0 2011.03.08 –
Commtouch 5.2.11.5 2011.03.09 –
Comodo 7925 2011.03.09 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.03.09 BackDoor.Tdss.based.7
eSafe 7.0.17.0 2011.03.07 –
eTrust-Vet 36.1.8205 2011.03.09 Win32/Diple.CMC
F-Prot 4.6.2.117 2011.03.08 –
F-Secure 9.0.16440.0 2011.03.09 –
Fortinet 4.2.254.0 2011.03.09 –
GData 21 2011.03.09 Gen:Variant.Bredo.24
Ikarus T3.1.1.97.0 2011.03.09 Trojan-Dropper.Win32.TDSS
Jiangmin 13.0.900 2011.03.09 –
K7AntiVirus 9.92.4057 2011.03.08 Trojan
Kaspersky 7.0.0.125 2011.03.09 Trojan-Dropper.Win32.TDSS.afxe
McAfee 5.400.0.1158 2011.03.09 Generic.dx!wjf
McAfee-GW-Edition 2010.1C 2011.03.09 Generic.dx!wjf
Microsoft 1.6603 2011.03.09 Trojan:Win32/Alureon.DX
NOD32 5938 2011.03.09 Win32/Olmarik.AOY
Norman 6.07.03 2011.03.08 W32/Suspicious_Gen2.ITFPW
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.03.09 Trj/CI.A
PCTools 7.0.3.5 2011.03.09 Backdoor.Tidserv!rem
Prevx 3.0 2011.03.09 Medium Risk Malware
Rising 23.48.02.03 2011.03.09 –
Sophos 4.63.0 2011.03.09 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.03.09 Rootkit.Agent/Gen-NuTrx
Symantec 20101.3.0.103 2011.03.09 Backdoor.Tidserv
TheHacker 6.7.0.1.146 2011.03.08 Trojan/Dropper.TDSS.afxe
TrendMicro 9.200.0.1012 2011.03.09 –
TrendMicro-HouseCall 9.200.0.1012 2011.03.09 –
VBA32 3.12.14.3 2011.03.09 Trojan.TDSS.7
VIPRE 8644 2011.03.09 Trojan.Win32.Generic!BT
ViRobot 2011.3.9.4349 2011.03.09 Dropper.TDSS.125952.B
VirusBuster 13.6.241.0 2011.03.08 –

File size : 125952 bytes

publisher….: Geek (c) —___—
copyright….: Geek (c) —___—
product……: Geek (c) —___—
description..: Geek (c) —___—
original name: Geek (c) —___—
internal name: Geek (c) —___—
file version.: 4,12,56,6033

El ELISTARA 22.77 elimina los ficheros maliciosos al respecto y restaura el MBR si no está oculto su código vírico

saludos

ms, 9-3-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies