Codigo del ALUREON con el que infecta el MBR el falso mail de Correos

Como informamos en https://blog.satinfo.es/?p=19905 , la ejecución del fichero adjunto al falso mail de Correos descarga de este servidor de Rumania

84.247.61.25 RO Romania 10 Bucuresti Bucharest  44.4333 26.1000 SC SISTEM SOFT NETWORK SRL

un Fake Alert polimórfico que, arrancando en MODO SEGURO, el ELISTARA aparcará sin problemas, y además instala un ALUREON con tecnicas Stealth en el MBR, cuyo codigo subido al VirusTotal, presenta el siguiente informe:
File name: MBR
Submission date: 2011-09-22 10:32:41 (UTC)
Current status: finished
Result: 24 /44 (54.5%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.21.02 2011.09.21 –
AntiVir 7.11.15.4 2011.09.22 BOO/TDss.B
Antiy-AVL 2.0.3.7 2011.09.22 –
Avast 4.8.1351.0 2011.09.22 MBR:Alureon-G [Rtk]
Avast5 5.0.677.0 2011.09.22 MBR:Alureon-G [Rtk]
AVG 10.0.0.1190 2011.09.22 Win32/Alureon.MBR
BitDefender 7.2 2011.09.22 Rootkit.MBR.TDSS.B (Boot image)
ByteHero 1.0.0.1 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.22 Bootkit.TDSS.TDL4
ClamAV 0.97.0.0 2011.09.22 –
Commtouch 5.3.2.6 2011.09.22 Tdss.C
Comodo 10203 2011.09.22 –
DrWeb 5.0.2.03300 2011.09.22 BackDoor.Tdss.4005
Emsisoft 5.1.0.11 2011.09.22 Rootkit.Win32.TDSS!IK
eSafe 7.0.17.0 2011.09.20 –
eTrust-Vet 36.1.8575 2011.09.22 Dos/Alureon
F-Prot 4.6.2.117 2011.09.22 Tdss.C
F-Secure 9.0.16440.0 2011.09.22 Rootkit.MBR.TDSS.B /(Boot image/)
Fortinet 4.3.370.0 2011.09.22 BOOT/TDSS.A
GData 22 2011.09.22 Rootkit.MBR.TDSS.B
Ikarus T3.1.1.107.0 2011.09.22 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2011.09.21 –
K7AntiVirus 9.113.5173 2011.09.21 Virus
Kaspersky 9.0.0.837 2011.09.22 Rootkit.Win32.TDSS.mbr
McAfee 5.400.0.1158 2011.09.22 TDSS!mbr
McAfee-GW-Edition 2010.1D 2011.09.21 TDSS!mbr
Microsoft 1.7702 2011.09.22 Trojan:DOS/Alureon.A
NOD32 6484 2011.09.22 –
Norman 6.07.11 2011.09.22 TDSSmbr.A
nProtect 2011-09-22.01 2011.09.22 –
Panda 10.0.3.5 2011.09.21 –
PCTools 8.0.0.5 2011.09.22 –
Prevx 3.0 2011.09.22 –
Rising 23.76.03.01 2011.09.22 –
Sophos 4.69.0 2011.09.22 Troj/TdlMbr-B
SUPERAntiSpyware 4.40.0.1006 2011.09.21 –
Symantec 20111.2.0.82 2011.09.22 –
TheHacker 6.7.0.1.305 2011.09.21 –
TrendMicro 9.500.0.1008 2011.09.22 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.22 –
VBA32 3.12.16.4 2011.09.21 –
VIPRE 10547 2011.09.22 Trojan.Boot.Alureon.Gen (v)
ViRobot 2011.9.22.4683 2011.09.22 –
VirusBuster 14.0.225.0 2011.09.21 Boot.TDSS.Gen
Additional informationShow all
MD5   : d8f69d27538ab3fb1cb57ef31c5ef62a
SHA1  : 8d6962168dda05ee330cb4e64c2c9c37b9149732
File size : 512 bytes
Lo crítico de ello es que usa técnicas stealth, con lo que se proteje y oculta, y si bien el ELISTARA avisará de ello, para su eliminación se ha de proceder arrancando desde otro medio y actuando con mucho cuidado en los ordenadores que no tengan una partición standar de windows, como en muchos casos tienen los ordenadores que equipan una particion especial para servicio tecnico (tipo Compaq, HP, etc)

En los ordenadores con una simple particion de windows, se podrá usar el mismo ELISTARA, que lo detectará y restaurará por el original, por ejemplo colocando dicho disco duro infectado como esclavo y arrancando con un MASTER no infectado.

Otro medio es con el CD de instalacion de windows, desde la consola de recuperacion lanzar un FIXMBR en XP o el BOOTSEC en Windows 7, y desde el LIVECD de SATINFO con el MS-SYS, escogiendo la particion adecuada a cada sistema.
Asi que además de que el FAKE AV que descarga, es polimorfico, instala este ALUREON en el MBR con tecnicas stealth … ya solo le falta infectar la BIOS, como el  MEBROMI …
saludos

ms, 22-9-2011

NOTA: Mas info al respecto en https://blog.satinfo.es/?p=19941