Nueva historia del SIREFEF que inserta en fichero de MCAfee el Dropper de sí mismo

Una de las plagas que estamos sufriendo es la del SIREFEF, de la familia del ZERO ACCESS, del que ya hemos hablado largo y tendido sobre la utilización del mismo, y ahora inyectan en uno de los ficheros de validación de procesos de McAfee, el código del dropper, por lo que lo pasamos a controlar a partir del ELISTARA 24.51 como SIREFEF.A (dr)
El preanalisis con virustotal ofrece el siguiente informe:

File name: mfevtps.exe
Submission date: 2011-12-22 16:26:06 (UTC)

Result: 38/ 43 (88.4%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.12.22.02 2011.12.22 Win-Trojan/Patched.DD
AntiVir 7.11.19.242 2011.12.22 W32/PatchLoad.A
Antiy-AVL 2.0.3.7 2011.12.20 –
Avast 6.0.1289.0 2011.12.22 Win32:Patched-WQ [Trj]
AVG 10.0.0.1190 2011.12.22 Win32/Katusha.A
BitDefender 7.2 2011.12.22 Trojan.Patched.HE
ByteHero 1.0.0.1 2011.12.07 Trojan.Win32.Heur.Gen
CAT-QuickHeal 12.00 2011.12.22 W32.Patchload.O
ClamAV 0.97.3.0 2011.12.22 Trojan.Patched-167
Commtouch 5.3.2.6 2011.12.22 W32/Patched.G
Comodo 11049 2011.12.22 TrojWare.Win32.Patched.HN
DrWeb 5.0.2.03300 2011.12.22 Trojan.Starter.1695
Emsisoft 5.1.0.11 2011.12.22 Trojan-Spy.Win32.Zbot!IK
eSafe 7.0.17.0 2011.12.20 –
eTrust-Vet 37.0.9639 2011.12.22 Win32/Patchload.U
F-Prot 4.6.5.141 2011.12.22 W32/Patched.G
F-Secure 9.0.16440.0 2011.12.22 Trojan.Patched.HE
Fortinet 4.3.388.0 2011.12.22 W32/Patched.MF!tr
GData 22.315/22.597 2011.12.22 Trojan.Patched.HE
Ikarus T3.1.1.109.0 2011.12.22 Trojan-Spy.Win32.Zbot
Jiangmin 13.0.900 2011.12.21 TrojanSpy.Zbot.adxr
K7AntiVirus 9.120.5749 2011.12.22 Trojan
Kaspersky 9.0.0.837 2011.12.22 Trojan.Win32.Patched.mf
McAfee 5.400.0.1158 2011.12.22 W32/Katusha
McAfee-GW-Edition 2010.1E 2011.12.22 W32/Katusha
Microsoft 1.7903 2011.12.22 Virus:Win32/Patchload.O
NOD32 6734 2011.12.22 Win32/Patched.HN
Norman 6.07.13 2011.12.22 W32/Patched.BH
nProtect 2011-12-22.01 2011.12.22 Virus/W32.Patched.Gen
Panda 10.0.3.5 2011.12.22 W32/Katusha.BN
PCTools 8.0.0.5 2011.12.22 Trojan.Paccyn
Prevx 3.0 2011.12.22 –
Rising 23.89.03.02 2011.12.22 Win32.Loader.li
Sophos 4.72.0 2011.12.22 W32/Patched-AL
SUPERAntiSpyware 4.40.0.1006 2011.12.22 –
Symantec 20111.2.0.82 2011.12.22 Trojan.Paccyn!inf
TheHacker 6.7.0.1.362 2011.12.22 –
TrendMicro 9.500.0.1008 2011.12.22 PTCH_KATUSHA.W
TrendMicro-HouseCall 9.500.0.1008 2011.12.22 PTCH_KATUSHA.W
VBA32 3.12.16.4 2011.12.22 Trojan-Spy.Zbot.gen
VIPRE 11288 2011.12.22 Virus.Win32.Agent.mpq (v)
ViRobot 2011.12.22.4841 2011.12.22 Win32.Patched.BE
VirusBuster 14.1.129.0 2011.12.22 Win32.Katusha.Gen
Additional informationShow all
MD5   : 0eeedbf0b8d2c727a93dfdea3288655f
SHA1  : ed630c8099cdfcd3328a0aa85e69dc2b2f68202f

File size : 148520 bytes

publisher….: McAfee, Inc.
copyright….: Copyright(c) 1995-2011 McAfee, Inc. All Rights Reserved.
product……: SYSCORE
description..: McAfee Process Validation Service
original name: n/a
internal name: n/a
file version.: SYSCORE.14.4.0.457

Implementamos su control y eliminacion a partir de la version 24.51 del ELISTARA de hoy, si bien está claro que tras ello deberá instalarse de nuevo dicho antivirus para recuperar su correcto funcionamiento.

Esta es una primicia sobre este nuevo engendro, que forma parte del la instalación del SIREFEF, y que debe eliminarse con el ELISTARA y luego, si ya había logrado la instalación del virus, atacar con el ELISIREF para liquidar lo que hubiera logrado instalar.

Pero tememos lo que se les pueda ocurrir en el futuro, vistas las tecnicas y metodos que han utilizado hasta ahora estos coders del SIREFEF…

saludos

ms, 22-12-2011