AMPLIACION SOBRE INFECCION CON NUEVA VARIANTE DE PINKSLIPBOT
Ampliamos detalles de la peligrosa posibilidad de infección de la nueva variante poco controlada del malware PINKSLIPBOT; con el que estamos luchando, que en caracteristicas generales tiene 7 puntos importantes:
Rootkit -> Tiene tecnicas de ocultamiento para dificultar su deteccion y eleminacion
Metodo de propagacion en red -> Se propaga por recursos compartidos
Ingenieria social -> Copia fichero malware con icono de carpeta en Pendrives
keylogger -> Roba informacion generando ficheros con ella legible en texto ASCII
payload -> instala Backdoor Quackbot
efectos colaterales -> desactiva acceso a las carpetas de antivirus impidiendo su ejecucion.
actualizacion -> Se actualiza de internet en equipos infectados, actualizandose con nuevas versiones mas recientes
Detectado por la heuristica del motor ARTEMIS en VirusScan de McAfee 8.7 u 8.8, los usuarios que aun no tengan implementada dicha version (y trabajen por ejemplo con 8.5) ano detectarán la nueva version hasta que esté contemplado en los DAT básicos, lo cual se advierte aconsejando actualicen a la version actual si no la tienen instalada, o por lo menos a la 8.7, que ya dispone del sistema ARTEMIS.
Ayer ya ofrecimos dos Noticias al respecto, pero estando preocupados por la posible propagacion de este malware de dificil deteccion, al ser RootKit, fgacil propagacion, al usar para ello recursos compartidos y la ingenieria social del icono de carpetas en ficheros maliciosos que copia en los pendrives, ademas de la peligrosidad de la fuga de informacion por el keylogger que contiene y el acceso que abre a traves de su backdoor, y dificultosa eliminacion, por su regeneracion si no se erradica totalmente, asi como por la desactivacion del acceso al antivirus, impidiendo su ejecucion, advertimos sobre su existencia para que tomen medidas al respecto en todos los sentidos indicados, esperando no se pean afectados por el mismo, si bien si fuera el caso, estamos colaborando con McAfee para lograr el control total del mismo y, si fuera el caso, la desinfeccion de los equipos infectados.
Cabe indicar que si se tiene dicho virus activo, ante todo se debe arrancar en MODO SEGURO y restaurar los privilegios NYFS de acceso a las carpetras del antivirus, para que éste pueda utilizarse, ya que sin ello no podría usarse el antivirus, y a continuacion proceder con el mismo a la desinfección.
Y la última novedad es que se actualiza con nuevas versiones desde servidores de internet, al estilo del Conficker, de recuerdo permanente…
El analisis de fichero con icono de carpeta creado por dicho virus en los pendrives es:
File name: ijet.exe
Submission date: 2011-02-23 12:41:47 (UTC)
Current status: queued (#6) queued (#6) analysing finished
Result: 24/ 43 (55.8%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.23.02 2011.02.23 Worm/Win32.Kolab
AntiVir 7.11.3.203 2011.02.23 TR/Spy.201728.50
Antiy-AVL 2.0.3.7 2011.02.23 –
Avast 4.8.1351.0 2011.02.23 –
Avast5 5.0.677.0 2011.02.23 –
AVG 10.0.0.1190 2011.02.23 IRC/BackDoor.SdBot4.TOJ
BitDefender 7.2 2011.02.23 Gen:Trojan.Heur.mmKfrjzQN8mcb
CAT-QuickHeal 11.00 2011.02.23 –
ClamAV 0.96.4.0 2011.02.23 –
Commtouch 5.2.11.5 2011.02.23 –
Comodo 7781 2011.02.23 –
DrWeb 5.0.2.03300 2011.02.23 Trojan.Packed.1883
Emsisoft 5.1.0.2 2011.02.23 Net-Worm.Win32.Kolab!IK
eSafe 7.0.17.0 2011.02.22 –
eTrust-Vet 36.1.8178 2011.02.23 –
F-Prot 4.6.2.117 2011.02.22 –
F-Secure 9.0.16160.0 2011.02.23 Gen:Trojan.Heur.mmKfrjzQN8mcb
Fortinet 4.2.254.0 2011.02.23 –
GData 21 2011.02.23 Gen:Trojan.Heur.mmKfrjzQN8mcb
Ikarus T3.1.1.97.0 2011.02.23 Net-Worm.Win32.Kolab
Jiangmin 13.0.900 2011.02.23 –
K7AntiVirus 9.89.3940 2011.02.23 Trojan
Kaspersky 7.0.0.125 2011.02.23 Net-Worm.Win32.Kolab.ucv
McAfee 5.400.0.1158 2011.02.23 W32/Pinkslipbot.gen.aa
McAfee-GW-Edition 2010.1C 2011.02.23 Artemis!935CB31FE7C7
Microsoft 1.6502 2011.02.23 Backdoor:Win32/Qakbot
NOD32 5899 2011.02.23 Win32/Qbot.AN
Norman 6.07.03 2011.02.23 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.22 Trj/CI.A
PCTools 7.0.3.5 2011.02.22 –
Prevx 3.0 2011.02.23 Medium Risk Malware
Rising 23.46.02.06 2011.02.23 –
Sophos 4.61.0 2011.02.23 Mal/FakeAV-IU
SUPERAntiSpyware 4.40.0.1006 2011.02.23 –
Symantec 20101.3.0.103 2011.02.23 W32.Qakbot
TheHacker 6.7.0.1.136 2011.02.23 –
TrendMicro 9.200.0.1012 2011.02.23 WORM_QAKBOT.USL
TrendMicro-HouseCall 9.200.0.1012 2011.02.23 WORM_QAKBOT.USL
VBA32 3.12.14.3 2011.02.23 BScope.Trojan.Bofa.02
VIPRE 8511 2011.02.23 Backdoor.Win32.Qakbot
ViRobot 2011.2.23.4325 2011.02.23 –
VirusBuster 13.6.215.0 2011.02.23 Worm.Kolab!+D0Udoc3ctk
Additional informationShow all
MD5 : 935cb31fe7c78f1c35320f5c40ea0759
SHA1 : bb6dbdaa0349a68f4095a27e71613416fc81033a
File size : 201728 bytes
publisher….: Bkfatbxw Xdusfdw
copyright….: Copyright (c) Bkfatbxw Xdusfdw 1999-2009
product……: Bkfatbxw Gygfvjbxcf Kyksucoqxy
description..: Bkfatbxw Gygfvjbxcf Kyksucoqxy
original name: Bkfatbxw.exe
internal name: Bkfatbxw
file version.: 32,53,87,33
Mucho cuidado con ello!
SALUDOS
MS; 23-2-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.