Mas RootKit SIREFEF (ZERO ACCESS) cazado por la heuristica del ELISIREF
El Sirefef se está convirtiendo en el RootKit de moda, como lo ha sido (y aun persiste) el DORKBOT y antes el Conficker…
Este RootKit se esconde de mala manera cuando está en memoria, mostrando en su lugar el fichero del que coge el nombre, que acostumbra a ser un driver del sistema operativo, aunque no siempre, como en este caso.
A partir del ELISIREF 1.6 de hoy, pasamos a controlar esta nueva variante, cuyo preanalisis con el VirusTotal ofrece el siguiente informe:
File name: Cdudf_xp.sys.Muestra EliSirefef v1.5
Submission date: 2011-11-08 11:33:11 (UTC)
Result: 10/ 43 (23.3%)
VT Community
not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.11.07.00 2011.11.07 Backdoor/Win32.ZAccess
AntiVir 7.11.17.79 2011.11.08 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2011.11.08 –
Avast 6.0.1289.0 2011.11.08 –
AVG 10.0.0.1190 2011.11.08 Hider.OHJ
BitDefender 7.2 2011.11.08 Trojan.Generic.KDV.394781
ByteHero 1.0.0.1 2011.11.04 –
CAT-QuickHeal None 2011.11.08 –
ClamAV 0.97.3.0 2011.11.08 –
Commtouch 5.3.2.6 2011.11.08 –
Comodo 10703 2011.11.08 –
DrWeb 5.0.2.03300 2011.11.08 –
Emsisoft 5.1.0.11 2011.11.08 –
eSafe 7.0.17.0 2011.11.07 –
eTrust-Vet 36.1.8662 2011.11.08 –
F-Prot 4.6.5.141 2011.11.07 –
F-Secure 9.0.16440.0 2011.11.08 Trojan.Generic.KDV.394781
Fortinet 4.3.370.0 2011.11.08 –
GData 22 2011.11.08 Trojan.Generic.KDV.394781
Ikarus T3.1.1.107.0 2011.11.08 –
Jiangmin 13.0.900 2011.11.07 –
K7AntiVirus 9.117.5404 2011.11.07 –
Kaspersky 9.0.0.837 2011.11.08 Rootkit.Win32.ZAccess.g
McAfee 5.400.0.1158 2011.11.08 –
McAfee-GW-Edition 2010.1D 2011.11.07 –
Microsoft 1.7801 2011.11.08 TrojanDropper:Win32/Sirefef.B
NOD32 6610 2011.11.08 a variant of Win32/Sirefef.DJ
Norman 6.07.13 2011.11.07 –
nProtect 2011-11-08.01 2011.11.08 Gen:Rootkit.Heur.pyZ@gKiCmwj
Panda 10.0.3.5 2011.11.07 –
PCTools 8.0.0.5 2011.11.08 –
Prevx 3.0 2011.11.08 –
Rising 23.83.01.01 2011.11.08 –
Sophos 4.71.0 2011.11.08 –
SUPERAntiSpyware 4.40.0.1006 2011.11.08 –
Symantec 20111.2.0.82 2011.11.08 –
TheHacker 6.7.0.1.339 2011.11.08 –
TrendMicro 9.500.0.1008 2011.11.08 –
TrendMicro-HouseCall 9.500.0.1008 2011.11.08 –
VBA32 3.12.16.4 2011.11.08 –
VIPRE 10996 2011.11.08 –
ViRobot 2011.11.8.4761 2011.11.08 –
VirusBuster 14.1.51.0 2011.11.07 –
Additional informationShow all
MD5 : f069cf88078991afba5fa7e9444e1f37
SHA1 : 1ce8cc9f34761fd95536d82a35922004e84b207e
File size : 249344 bytes
Dicha version del ELISIREF 1,6 que lo detecta y elimina estará disponible en nuestra web a partir de las 19 h CEST de hoy
Cabe señalar que es el primer caso que vemos que ha utilizado un driver que no es de Microsoft, pues este es de Roxio, utilizados en aplicaciones como “Easy CD&DVD Creator”, por lo que vemos que utiliza un driver que esté en uso, sin necesidad que sea del sistema.
Si tras la eliminacion del malware dejara de funcionar dicho periferico, señal de que windows no lo ha regenerado, como acostumbra a hacer con los de sistema, y entonces habrá que copiar, en este caso, dicho fichero (CDUDF_XP.SYS) de otra máquina que utilice igual periferico y versión de drivers, en C:\windows\system32\drivers\, o reinstalar la aplicación en cuestión.
saludos
ms, 8-11-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.