Evolucion control de variantes de PinkSlipBot

Por lo menos las casas antivirus se ponen las pilas ! 🙂

Ayer esta DLL correspondiente a la actualizacion de ayer de dicho malware solo lo detectaba PrevX y como sospechoso.

Esta madrugada (sobre las 4 AM) ya eran 7 y a las 9:37 CET (8:37 UTC) ya eran 10 los que lo detectaban, al menos heuristicamente, como MCAfee con el motor ARTEMIS.:
File name: fhrk23.dll
Submission date: 2011-02-24 08:37:53 (UTC)
Result: 10/ 43 (23.3%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.24.01 2011.02.24 –
AntiVir 7.11.3.207 2011.02.23 –
Antiy-AVL 2.0.3.7 2011.02.23 –
Avast 4.8.1351.0 2011.02.23 –
Avast5 5.0.677.0 2011.02.23 –
AVG 10.0.0.1190 2011.02.23 Generic3_c.AVBV
BitDefender 7.2 2011.02.24 –
CAT-QuickHeal 11.00 2011.02.24 –
ClamAV 0.96.4.0 2011.02.24 –
Commtouch 5.2.11.5 2011.02.24 –
Comodo 7791 2011.02.24 –
DrWeb 5.0.2.03300 2011.02.24 –
Emsisoft 5.1.0.2 2011.02.24 –
eSafe 7.0.17.0 2011.02.22 –
eTrust-Vet 36.1.8179 2011.02.23 –
F-Prot 4.6.2.117 2011.02.23 –
F-Secure 9.0.16160.0 2011.02.24 –
Fortinet 4.2.254.0 2011.02.24 –
GData 21 2011.02.24 –
Ikarus T3.1.1.97.0 2011.02.24 Trojan-PWS.Win32.Qbot
Jiangmin 13.0.900 2011.02.24 –
K7AntiVirus 9.90.3949 2011.02.24 –
Kaspersky 7.0.0.125 2011.02.24 Trojan-PSW.Win32.Qbot.byx
McAfee 5.400.0.1158 2011.02.24 Generic.bfr!n
McAfee-GW-Edition 2010.1C 2011.02.24 Artemis!029CED87821B
Microsoft 1.6603 2011.02.24 Backdoor:Win32/Qakbot
NOD32 5902 2011.02.24 –
Norman 6.07.03 2011.02.23 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.23 –
PCTools 7.0.3.5 2011.02.24 Malware.Qakbot!rem
Prevx 3.0 2011.02.24 Medium Risk Malware
Rising 23.46.03.03 2011.02.24 –
Sophos 4.61.0 2011.02.24 –
SUPERAntiSpyware 4.40.0.1006 2011.02.24 –
Symantec 20101.3.0.103 2011.02.24 W32.Qakbot
TheHacker 6.7.0.1.137 2011.02.24 –
TrendMicro 9.200.0.1012 2011.02.24 –
TrendMicro-HouseCall 9.200.0.1012 2011.02.24 –
VBA32 3.12.14.3 2011.02.23 –
VIPRE 8520 2011.02.24 Trojan.Win32.Generic!BT
ViRobot 2011.2.24.4326 2011.02.24 –
VirusBuster 13.6.217.0 2011.02.23 –
Additional informationShow all
MD5   : 029ced87821bf90007a9f5e1c366bbbe
SHA1  : ec36faabd0cdff8b5a7ebe234d5b7573c7ccabcc
File size : 135216 bytes
publisher….: Rlorivwnp Vqhoyc
copyright….: Copyright (c) Rlorivwnp Vqhoyc 1996-2009
product……: Rlorivwnp Kywbk Bnkpugs
description..: Rlorivwnp Kywbk Bnkpugs
original name: Rlorivwnp.exe
internal name: Rlorivwnp
file version.: 13,127,51,36

Aun son muchos los AV que no lo detectan ni como sospechoso, como Avast, BitDefender, DrWEB, F-Prot, GDATA, NOD32, Panda, Sophos, y Trend, entre otros conocidos, pero sin duda lo iran controlando a lo largo de estos dias, a medida que lo vayan conociendo…

Por nuestra parte hemos de decir que McAfee nos ha ido proporcionando EXTRA.DAT con gran celeridadpara las muestras que le hemos ido enviando, aplicandolos luego a los DAT de cada día, y actualmente lo estamos controlando con la version actual, además de ayudar con el ELISTARA (arrancando en modo seguro) al control de las muestras conocidas, y a partir de la version 22.69 de hoy se pedirá muestras de sospechosos en base a las caracteristicas comunes que hemos ido descubrieno en los updates de dicho malware, asi como detener el proceso malware en memoria y devolver los privilegios NYFS de las carpetas del antivirus de McAfee, que es sobre el que damos soporte, si bien debe tenerse en cuenta que ello lo hace el malware en las carpetas de cada antivirus de cierto renombre, y si no es el VirusScan de McAfee deberá recuperarse el acceso manualmente, o el antivirus no será utilizable.

El ultimo update del malware de las 10 h CET  de hoy, ha ofrecido similar DLL a la ultima conocida de ayer, pero diferente EXE’S, ofreciendo el del icono de carpeta el siguiente resultado en el preanalisis del VT:

File name: fhrk24.exe
Submission date: 2011-02-24 09:09:57 (UTC)
Result: 15/ 43 (34.9%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.24.01 2011.02.24 Spyware/Win32.Spyeye
AntiVir 7.11.3.207 2011.02.23 –
Antiy-AVL 2.0.3.7 2011.02.23 –
Avast 4.8.1351.0 2011.02.23 –
Avast5 5.0.677.0 2011.02.23 –
AVG 10.0.0.1190 2011.02.23 –
BitDefender 7.2 2011.02.24 Gen:Trojan.Heur.pmLfrTVRQDfcb
CAT-QuickHeal 11.00 2011.02.24 –
ClamAV 0.96.4.0 2011.02.24 –
Commtouch 5.2.11.5 2011.02.24 –
Comodo 7791 2011.02.24 –
DrWeb 5.0.2.03300 2011.02.24 –
Emsisoft 5.1.0.2 2011.02.24 –
eSafe 7.0.17.0 2011.02.22 –
eTrust-Vet 36.1.8179 2011.02.23 –
F-Prot 4.6.2.117 2011.02.23 –
F-Secure 9.0.16160.0 2011.02.24 Gen:Trojan.Heur.pmLfrTVRQDfcb
Fortinet 4.2.254.0 2011.02.24 –
GData 21 2011.02.24 Gen:Trojan.Heur.pmLfrTVRQDfcb
Ikarus T3.1.1.97.0 2011.02.24 Gen.Trojan.Heur
Jiangmin 13.0.900 2011.02.24 –
K7AntiVirus 9.90.3949 2011.02.24 Trojan
Kaspersky 7.0.0.125 2011.02.24 Trojan-PSW.Win32.Qbot.bzf
McAfee 5.400.0.1158 2011.02.24 Generic PWS.y!cyg
McAfee-GW-Edition 2010.1C 2011.02.24 Artemis!4E598E13A1B6
Microsoft 1.6603 2011.02.24 –
NOD32 5902 2011.02.24 –
Norman 6.07.03 2011.02.24 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.23 Suspicious file
PCTools 7.0.3.5 2011.02.24 Malware.Qakbot!rem
Prevx 3.0 2011.02.24 High Risk Worm
Rising 23.46.03.03 2011.02.24 –
Sophos 4.61.0 2011.02.24 –
SUPERAntiSpyware 4.40.0.1006 2011.02.24 –
Symantec 20101.3.0.103 2011.02.24 W32.Qakbot
TheHacker 6.7.0.1.137 2011.02.24 –
TrendMicro 9.200.0.1012 2011.02.24 TSPY_SPYEYE.SMAE
TrendMicro-HouseCall 9.200.0.1012 2011.02.24 TSPY_SPYEYE.SMAE
VBA32 3.12.14.3 2011.02.23 –
VIPRE 8520 2011.02.24 –
ViRobot 2011.2.24.4326 2011.02.24 –
VirusBuster 13.6.217.0 2011.02.23 –
Additional informationShow all
MD5   : 4e598e13a1b6805be77c3bf78dc22dba
SHA1  : 55e19ae267d4e48dc95a7de7d29db579a0c8d669
File size : 252048 bytes
publisher….: Sgepqy Nqbrt
copyright….: Copyright (c) Sgepqy Nqbrt 1998-2010
product……: Sgepqy Yqtaoiq Gfqffcokw
description..: Sgepqy Yqtaoiq Gfqffcokw
original name: Sgepqy.exe
internal name: Sgepqy
file version.: 107,40,115,63

Como vemos son 15 los AV que lo detectan, y McAfee lo hace no solo heuristicamente con el motor ARTEMIS, sino además especificamente como Generic PWS.y!cyg

McAfee 5.400.0.1158 2011.02.24 Generic PWS.y!cyg
McAfee-GW-Edition 2010.1C 2011.02.24 Artemis!4E598E13A1B6

Pues con esto y el nuevo ELISTARA para poder detener el proceso de dicho malware, si está en memoria, y en cualquier caso  devolver los privilegios a las carpetas del VirusScan, para poder usarlo, ya respiramos tranquilos ante este maldito que nos ha tenido en vilo estos dos últimos días, habiendo desplazado uno de nuestros tecnicos en una organizacion infectada, y destinando otros desde aqui, en colaboracion con los tecnicos de McAfee, avanzando y luchando contra este sofisticado RooTKIT / Keylogger, que mas vale no tener el disgusto de conocerlo !
y a título de recordatorio listamos los 7 puntos significativos de esta familia PINKSLIPBOT:
Rootkit -> Tiene tecnicas de ocultamiento para dificultar su deteccion y eleminacion

Metodo de propagacion en red -> Se propaga por recursos compartidos

Ingenieria social -> Copia fichero malware con icono de carpeta en Pendrives

keylogger -> Roba informacion generando ficheros con ella legible en texto ASCII

payload -> instala Backdoor Quackbot

efectos colaterales -> desactiva acceso a las carpetas de antivirus impidiendo su ejecucion.

actualizacion -> Se actualiza de internet en equipos infectados, actualizandose con nuevas versiones mas recientes
saludos

ms, 24-2-2011