Nueva variante de CYCBOT pasada a controlar con ELITRIIP >7.54
Nueva variante de este malware que se repite estos últimos días
Afecta a tres ficheros, CSRSS.EXE, DWM.EXE, CONHOST.EXE, que crea en diferentes carpetas, cargandose desde diferentes puntos (LOAD, RUN, SHELL) y que se regenera con que quede uno vivo, y descarga nuevas variantes.
Es importante arrancar en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, para que no esté activo y en este modo lanzar el ELITRIIP.EXE, que eliminará los tres (si los conoce) o pedirá envio de muestras para su control en siguiente version.
El preanalisis del VirusTotal sobre la última muestra reportada, nos ofrece este informe:
File name:
CSRSS.EXE.Muestra EliTriIP v7.53
Submission date:
2011-07-21 06:19:37 (UTC)
Current status:
finished
Result:
12 /43 (27.9%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.21.01 2011.07.21 Backdoor/Win32.Gbot
AntiVir 7.11.12.26 2011.07.21 –
Antiy-AVL 2.0.3.7 2011.07.21 –
Avast 4.8.1351.0 2011.07.20 –
Avast5 5.0.677.0 2011.07.20 Win32:Cycbot-HQ [Trj]
AVG 10.0.0.1190 2011.07.21 –
BitDefender 7.2 2011.07.21 –
CAT-QuickHeal 11.00 2011.07.21 –
ClamAV 0.97.0.0 2011.07.21 –
Commtouch 5.3.2.6 2011.07.21 –
Comodo 9453 2011.07.21 –
DrWeb 5.0.2.03300 2011.07.20 Trojan.Packed.196
Emsisoft 5.1.0.8 2011.07.21 –
eSafe 7.0.17.0 2011.07.20 –
eTrust-Vet 36.1.8455 2011.07.20 –
F-Prot 4.6.2.117 2011.07.20 –
F-Secure 9.0.16440.0 2011.07.21 –
Fortinet 4.2.257.0 2011.07.21 W32/Kryptik.POT!tr
GData 22 2011.07.21 –
Ikarus T3.1.1.104.0 2011.07.21 –
Jiangmin 13.0.900 2011.07.20 –
K7AntiVirus 9.108.4929 2011.07.20 –
Kaspersky 9.0.0.837 2011.07.21 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.07.21 –
McAfee-GW-Edition 2010.1D 2011.07.21 –
Microsoft 1.7104 2011.07.21 –
NOD32 6311 2011.07.21 a variant of Win32/Kryptik.QNO
Norman 6.07.10 2011.07.20 W32/Cycbot.DC
nProtect 2011-07-20.01 2011.07.20 –
Panda 10.0.3.5 2011.07.20 Suspicious file
PCTools 8.0.0.5 2011.07.21 –
Prevx 3.0 2011.07.21 –
Rising 23.67.02.03 2011.07.20 –
Sophos 4.67.0 2011.07.21 Troj/FakeAV-EFL
SUPERAntiSpyware 4.40.0.1006 2011.07.21 Trojan.Agent/Gen-Backdoor
Symantec 20111.1.0.186 2011.07.21 –
TheHacker 6.7.0.1.259 2011.07.21 –
TrendMicro 9.200.0.1012 2011.07.21 BKDR_CYCBOT.SME3
TrendMicro-HouseCall 9.200.0.1012 2011.07.21 BKDR_CYCBOT.SME3
VBA32 3.12.16.4 2011.07.20 –
VIPRE 9915 2011.07.21 –
ViRobot 2011.7.21.4580 2011.07.21 –
VirusBuster 14.0.132.0 2011.07.20 –
Additional information
MD5 : ebae7755779d73aba0833818145d976f
SHA1 : 31834ffadd16767a80c46d3dd471de2d1fc36121
File size : 178176 bytes
Ya vemos que solo 12 AV que lo detectan actualmente son muy pocos, y eso es porque su sistema de actualizacion le permite renovarse continuamente.
A partir del ELITRIIP 7.43 se controlan todas las variantes del mismo conocidas hasta la fecha.
Dicha version del ELITRIIP 7.54 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 21-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.