Nueva aparicion de malware ROOTKIT RELOADER

La historia de un nuevo engendro ha empezado !  Al igual que el SIREFEF utiliza los drivers del sistema, PERO ESTE coge uno, infecta sus primeros 110 Kb con el codigo virico, y el resto hasta el final del fichero, usa la última parte del fichero original, con lo que mantiene la informacion de las propiedades del fichero y mantiene la informacion de microsoft, no diferecnciandose de la del original

Lo controlamos a partir del ELISTARA 24.52 de hoy

El preanalisis con virustotal, ofrece el siguiente informe:

Result: 24/ 43 (55.8%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.12.22.02 2011.12.22 –
AntiVir 7.11.19.242 2011.12.22 TR/Rootkit.Gen2
Antiy-AVL 2.0.3.7 2011.12.23 –
Avast 6.0.1289.0 2011.12.23 Win32:RLoader-B
AVG 10.0.0.1190 2011.12.22 Agent3.WJV
BitDefender 7.2 2011.12.23 Trojan.Generic.6377555
ByteHero 1.0.0.1 2011.12.07 –
CAT-QuickHeal 12.00 2011.12.23 –
ClamAV 0.97.3.0 2011.12.23 –
Commtouch 5.3.2.6 2011.12.23 –
Comodo 11059 2011.12.23 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.12.23 Trojan.Rodricter.1
Emsisoft 5.1.0.11 2011.12.23 Virus.Win32.RLoader!IK
eSafe 7.0.17.0 2011.12.22 –
eTrust-Vet 37.0.9641 2011.12.23 –
F-Prot 4.6.5.141 2011.12.22 –
F-Secure 9.0.16440.0 2011.12.23 Trojan.Generic.6377555
Fortinet 4.3.388.0 2011.12.23 W32/RLoader.A
GData 22.316/22.598 2011.12.23 Trojan.Generic.6377555
Ikarus T3.1.1.109.0 2011.12.23 Virus.Win32.RLoader
Jiangmin 13.0.900 2011.12.22 Win32/RootkitReLoader.a
K7AntiVirus 9.120.5749 2011.12.22 Trojan
Kaspersky 9.0.0.837 2011.12.23 Virus.Win32.RLoader.a
McAfee 5.400.0.1158 2011.12.23 Artemis!C6811F0F6A14
McAfee-GW-Edition 2010.1E 2011.12.23 Artemis!C6811F0F6A14
Microsoft 1.7903 2011.12.23 Trojan:WinNT/Simda.gen!A
NOD32 6736 2011.12.23 Win32/Agent.SUC.Gen
Norman 6.07.13 2011.12.22 W32/Suspicious_Gen2.SHSOU
nProtect 2011-12-22.01 2011.12.22 Gen:Variant.Buzy.3764
Panda 10.0.3.5 2011.12.22 Trj/CI.A
PCTools 8.0.0.5 2011.12.23 Trojan.Gen
Prevx 3.0 2011.12.23 –
Rising 23.89.04.02 2011.12.23 –
Sophos 4.72.0 2011.12.23 –
SUPERAntiSpyware 4.40.0.1006 2011.12.23 –
Symantec 20111.2.0.82 2011.12.23 Trojan.Gen
TheHacker 6.7.0.1.362 2011.12.22 –
TrendMicro 9.500.0.1008 2011.12.23 –
TrendMicro-HouseCall 9.500.0.1008 2011.12.23 –
VBA32 3.12.16.4 2011.12.22 –
VIPRE 11292 2011.12.23 Trojan.Win32.Generic!BT
ViRobot 2011.12.23.4843 2011.12.23 –
VirusBuster 14.1.130.0 2011.12.22 –
Additional informationShow all
MD5   : c6811f0f6a149516ba6fb048566bfc91
SHA1  : ce55c4cb733f088958ce74d23ea8b671f7a99389

File size : 189056 bytes

publisher….: Microsoft Corporation
copyright….: Copyright (C) Microsoft Corporation. Reservados todos los derechos.
product……: Sistema operativo Microsoft_ Windows_
description..: Controlador ACPI para NT
original name: ACPI.sys
internal name: ACPI.sys
file version.: 5.1.2600.5512 (xpsp.080413-2111)

Dicha version del ELISTARA que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 horas CEST de hoy
Al igual que el SIREFEF, eliminando dicho driver windows acostumbra a reponerlo, pero en caso contrario, ver en el infosat el fichero que ha detecta y eliminado, y reponer el del mismo nombre de otro ordenador con el mismo sistema operativo, en C:\windows\system32\drivers\

Otra posibilidad es la de editar en dicha carpeta un fichero de cero bytes con el nombre del de marras, y en breve windows lo ve anomalo y lo repone. Por último, con una REPARACION de sistema, tambien se repone, claro.

Aun es incipiente y no sabemos que mas connotaciones tiene, pero de momento lo pasamos a controlar.

saludos

ms, 23-12-2011