NUEVA VARIANTE DE ROOTKIT DORKBOT
Otro ROOTKIT de esta familia, que esconde cvarpetas de los pendrives y genera en su lugar un icono igual, con link que primero carga el malware y luego accede a la carpeta escondida
No genera AUTORUN.INF, cuenta con el usuario para que pulse sobre el nuevo icono creado (link) para infectarlo.
Fijarse que los iconos de los pendrives no tengan la flechita de los links !!!
El analisis de VirusTotal sobre una muestra aislada, ofrece el siguiente informe:
File name: 0xD80A89C7.exe
Submission date: 2011-05-16 07:54:06 (UTC)
20 de 42
AhnLab-V3 2011.05.16.00 2011.05.15 Trojan/Win32.Pakes
AntiVir 7.11.8.25 2011.05.16 TR/Agent.118784
Antiy-AVL 2.0.3.7 2011.05.16 –
Avast 4.8.1351.0 2011.05.15 –
Avast5 5.0.677.0 2011.05.15 –
AVG 10.0.0.1190 2011.05.15 VBCrypt.ABY
BitDefender 7.2 2011.05.16 –
CAT-QuickHeal 11.00 2011.05.16 –
ClamAV 0.97.0.0 2011.05.16 BC.Heuristic.Trojan.SusPacked.BF-6.B
Commtouch 5.3.2.6 2011.05.16 –
Comodo 8718 2011.05.16 Heur.Corrupt.PE
DrWeb 5.0.2.03300 2011.05.16 –
Emsisoft 5.1.0.5 2011.05.16 –
eSafe 7.0.17.0 2011.05.15 –
eTrust-Vet 36.1.8326 2011.05.13 –
F-Prot 4.6.2.117 2011.05.16 –
F-Secure 9.0.16440.0 2011.05.16 –
Fortinet 4.2.257.0 2011.05.14 W32/Pakes.OZN!tr
GData 22 2011.05.16 –
Ikarus T3.1.1.103.0 2011.05.16 –
Jiangmin 13.0.900 2011.05.15 Trojan/Pakes.njq
K7AntiVirus 9.103.4648 2011.05.14 –
Kaspersky 9.0.0.837 2011.05.11 Trojan.Win32.Pakes.ozn
McAfee 5.400.0.1158 2011.05.16 Generic.bfr!ca
McAfee-GW-Edition 2010.1D 2011.05.15 Generic.bfr!ca
Microsoft 1.6802 2011.05.16 Trojan:Win32/Ircbrute
NOD32 6124 2011.05.16 Win32/Dorkbot.A
Norman 6.07.07 2011.05.15 –
nProtect 2011-05-15.01 2011.05.16 –
Panda 10.0.3.5 2011.05.15 Trj/Banker.MNL
PCTools 7.0.3.5 2011.05.13 –
Prevx 3.0 2011.05.16 Medium Risk Malware
Rising 23.57.04.05 2011.05.14 –
Sophos 4.65.0 2011.05.16 W32/AutoRun-BQJ
SUPERAntiSpyware 4.40.0.1006 2011.05.16 –
Symantec 20101.3.2.89 2011.05.16 –
TheHacker 6.7.0.1.198 2011.05.16 W32/Behav-Heuristic-CorruptFile-EP
TrendMicro 9.200.0.1012 2011.05.16 WORM_VB.EHUY
TrendMicro-HouseCall 9.200.0.1012 2011.05.16 WORM_VB.EHUY
VBA32 3.12.16.0 2011.05.12 Trojan.Pakes.ozn
VIPRE 9294 2011.05.16 Trojan.Win32.Pakes
ViRobot 2011.5.16.4460 2011.05.16 –
VirusBuster 13.6.355.1 2011.05.15 –
Additional informationShow all
MD5 : 95f8a79f590aa5d96592e03ee0af5678
SHA1 : 700e473cc76157128f6b4236f3c75ed1839999d4
File size : 114706
sigcheck:
publisher….: SiCo
copyright….: n/a
product……: eeeeeeee
description..: n/a
original name: ehhe.exe
internal name: Modd
file version.: 1.00
Dicha version del ELISTARA 23.22 que lo detecta y elimina estará disponible en nuestra web a partir de las 19 horas CEST de hoy
Se recomienda arrancar en MODO SEGURO para detectar y eliminar este dichoso ROOTKIT, sin el virus en memoria.
saludos
ms, 16-5-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.