Dropper que se lanza tras descargar las variantes del downloader DX-DIAG que instala el anexado al mail de CORREOS

Relacionado con   https://blog.satinfo.es/?p=19923  y con https://blog.satinfo.es/?p=19905

Además de descargar un Fake Alert polimórfico y sobreescribir con  un ALUREON en el MBR, e instalar el downloader DX-DIAG en el inicio, lanza este dropper del Spambot.POTAO todo lo cual queda controlado a partir del ELISTARA 23.93

El preanalisis del dropper del potao ofrece este informe:

File name: 2 tmp
Submission date: 2011-09-22 15:29:45 (UTC)
Current status: finished
Result: 4 /44 (9.1%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.18.00 2011.09.18 –
AntiVir 7.11.14.224 2011.09.18 –
Antiy-AVL 2.0.3.7 2011.09.18 –
Avast 4.8.1351.0 2011.09.18 –
Avast5 5.0.677.0 2011.09.18 –
AVG 10.0.0.1190 2011.09.18 –
BitDefender 7.2 2011.09.18 –
ByteHero 1.0.0.1 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.18 –
ClamAV 0.97.0.0 2011.09.18 –
Commtouch 5.3.2.6 2011.09.18 –
Comodo 10158 2011.09.18 –
DrWeb 5.0.2.03300 2011.09.18 –
Emsisoft 5.1.0.11 2011.09.18 –
eSafe 7.0.17.0 2011.09.18 –
eTrust-Vet 36.1.8566 2011.09.17 –
F-Prot 4.6.2.117 2011.09.18 –
F-Secure 9.0.16440.0 2011.09.18 –
Fortinet 4.3.370.0 2011.09.18 W32/Yakes.B!tr
GData 22 2011.09.18 –
Ikarus T3.1.1.107.0 2011.09.18 –
Jiangmin 13.0.900 2011.09.18 –
K7AntiVirus 9.113.5150 2011.09.17 –
Kaspersky 9.0.0.837 2011.09.18 –
McAfee 5.400.0.1158 2011.09.18 –
McAfee-GW-Edition 2010.1D 2011.09.18 –
Microsoft 1.7604 2011.09.18 –
NOD32 6474 2011.09.18 –
Norman 6.07.11 2011.09.18 –
nProtect 2011-09-18.01 2011.09.18 –
Panda 10.0.3.5 2011.09.18 Suspicious file
PCTools 8.0.0.5 2011.09.18 –
Prevx 3.0 2011.09.22 –
Rising 23.75.04.02 2011.09.16 –
Sophos 4.69.0 2011.09.18 –
SUPERAntiSpyware 4.40.0.1006 2011.09.17 –
Symantec 20111.2.0.82 2011.09.18 –
TheHacker 6.7.0.1.298 2011.09.17 –
TrendMicro 9.500.0.1008 2011.09.18 PAK_Generic.001
TrendMicro-HouseCall 9.500.0.1008 2011.09.18 PAK_Generic.001
VBA32 3.12.16.4 2011.09.16 –
VIPRE 10515 2011.09.18 –
ViRobot 2011.9.17.4674 2011.09.18 –
VirusBuster 14.0.219.0 2011.09.18 –
Additional informationShow all
MD5   : fdc470c1b458c761b1d246086135ca42
SHA1  : 5b0aeee67fb07a26782a767b77d84a123e6ed652

File size : 135680 bytes
Para su deteccion y eliminacion puede colocarse el disco duro infectado como esclavo en otro oredandor limpio, y arrancando con su MASTER, el ELISTARA > 23.93 detectará y eliminará todos estos componentes

Si se prefiere, puede limpiarse el MBR con el FIXMBR de Windows, desde la consola de recuperacion (arrancando con el CD de instalaicon de Microsoft), si bien recomendamos antes hacer copia de seguridad de dicho sector con nuestro COPYMBR.EXE , y para el resto de malwares al respecto, aconsejamos arrancar en MODO SEGURO y el ELISTARA los detectará y eliminará.

Dicho dropper Spambot.POTAO, crea otro fichero de extension atipica, que lanza a traves del RUNDLL32  , y polimorficos, que el ELISTARA eliminará directamente si los encuentra.  El preanalisis de dicho fichero ofrece el siguiente informe:

File name: lvjelao.yw
Submission date: 2011-09-22 15:40:19 (UTC)
Current status: finished
Result: 11 /44 (25.0%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.22.00 2011.09.22 –
AntiVir 7.11.15.12 2011.09.22 TR/Spy.Web.H
Antiy-AVL 2.0.3.7 2011.09.22 –
Avast 4.8.1351.0 2011.09.22 Win32:Agent-ANGY [Trj]
Avast5 5.0.677.0 2011.09.22 Win32:Agent-ANGY [Trj]
AVG 10.0.0.1190 2011.09.22 Generic_r.IO
BitDefender 7.2 2011.09.22 Gen:Variant.Boigy.4
ByteHero 1.0.0.1 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.22 –
ClamAV 0.97.0.0 2011.09.22 –
Commtouch 5.3.2.6 2011.09.22 –
Comodo 10203 2011.09.22 –
DrWeb 5.0.2.03300 2011.09.22 –
Emsisoft 5.1.0.11 2011.09.22 Trojan.Win32.Danmec!IK
eSafe 7.0.17.0 2011.09.20 –
eTrust-Vet 36.1.8575 2011.09.22 –
F-Prot 4.6.2.117 2011.09.22 –
F-Secure 9.0.16440.0 2011.09.22 Gen:Variant.Boigy.4
Fortinet 4.3.370.0 2011.09.22 –
GData 22 2011.09.22 Gen:Variant.Boigy.4
Ikarus T3.1.1.107.0 2011.09.22 Trojan.Win32.Danmec
Jiangmin 13.0.900 2011.09.22 –
K7AntiVirus 9.113.5173 2011.09.21 –
Kaspersky 9.0.0.837 2011.09.22 –
McAfee 5.400.0.1158 2011.09.22 –
McAfee-GW-Edition 2010.1D 2011.09.21 –
Microsoft 1.7702 2011.09.22 Backdoor:Win32/Agent.ACG
NOD32 6485 2011.09.22 –
Norman 6.07.11 2011.09.22 –
nProtect 2011-09-22.01 2011.09.22 –
Panda 10.0.3.5 2011.09.22 Suspicious file
PCTools 8.0.0.5 2011.09.22 –
Prevx 3.0 2011.09.22 –
Rising 23.76.03.01 2011.09.22 –
Sophos 4.69.0 2011.09.22 –
SUPERAntiSpyware 4.40.0.1006 2011.09.21 –
Symantec 20111.2.0.82 2011.09.22 –
TheHacker 6.7.0.1.305 2011.09.21 –
TrendMicro 9.500.0.1008 2011.09.22 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.22 –
VBA32 3.12.16.4 2011.09.22 –
VIPRE 10547 2011.09.22 –
ViRobot 2011.9.22.4683 2011.09.22 –
VirusBuster 14.0.226.0 2011.09.22 –
Additional informationShow all
MD5   : 409203d3c48230e4ce1a36673740cd82
SHA1  : 2edb294a186254549e725e988a288fb11290a81d

File size : 68708 bytes

publisher….: Potao
copyright….: Copyright (C) 2011 Potao INC.
product……: Potao hide spambot
description..: Potao spambot
original name: Svc.exe
internal name: potaospam.dll
file version.: 1.0.0.1
Todo ello derivado del fichero anexado al falso mail de CORREOS originario del DX-DIAG, y detectado y eliminado por el ELISTARA 23.93 que ya hemos subido a nuestra web, dada la urgencia del Tema.

saludos

ms, 22-9-2011