Nueva variante de ROOTKIT DORKBOT

Recordamos que los RootKit DORKBOT tienen la malicia de afectar a los pendrives  ocultando las carpetas y creando en su lugar (con su nombre) links a ellas pero cargando el malware guardado en RECYCLER

Muy pocas variantes del mismo, además, crean tambien el tipìco AUTORUN.INF cargando el malware cuando se inserta dichos pendrives infectados, si no se tiene protegido el ordenador con el ELIPEN.

Por si acaso, no está de mas y es muy aconsejable, vacunar ordenadores y pendrives con el ELIPEN, aunque haya algunos casos como este y otros como el STUXNET, que requieran tratamiento especial.

En este caso, al tratarse de un ROOTKIT, no es visible su presencia si esta en memoria, por lo que es conveniente proceder arrancando en MODO SEGURO y a continuacion lanzar el ELISTARA para asi poder detectar y eliminar el virus, y en el caso de los pendrives, si existen dichos links, se eliminarán restableciendo el acceso a las carpetas originales.

Son muchas las variantes ya controladas de este RootKit, si bien los antivirus, cuando está residente tienen dificultades para detectarlo, y aun sin estarlo, las nuevas variantes apenas las copntrolan, como esta, que ayer eran 10 solo los AV que la detectaban, y hoy son 15, como vemos en el preanalisis del VirusTotal alm respecto:

File name:
ZMCGCF.EXE.Muestra EliStartPage v23.74
Submission date:
2011-08-30 10:00:52 (UTC)
Current status:
finished
Result:
15/ 44 (34.1%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3 2011.08.30.00 2011.08.30 Trojan/Win32.VBKrypt
AntiVir 7.11.14.29 2011.08.30 –
Antiy-AVL 2.0.3.7 2011.08.30 –
Avast 4.8.1351.0 2011.08.30 Win32:VB-XRW [Trj]
Avast5 5.0.677.0 2011.08.30 Win32:VB-XRW [Trj]
AVG 10.0.0.1190 2011.08.30 Worm/Generic2.AYDJ
BitDefender 7.2 2011.08.30 –
ByteHero 1.0.0.1 2011.08.22 Trojan.Win32.Heur.Gen
CAT-QuickHeal 11.00 2011.08.30 –
ClamAV 0.97.0.0 2011.08.30 –
Commtouch 5.3.2.6 2011.08.30 –
Comodo 9927 2011.08.30 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.08.30 –
Emsisoft 5.1.0.10 2011.08.30 Worm.Win32.Dorkbot!IK
eSafe 7.0.17.0 2011.08.29 Win32.Ruskill.Agr
eTrust-Vet 36.1.8530 2011.08.30 –
F-Prot 4.6.2.117 2011.08.30 –
F-Secure 9.0.16440.0 2011.08.30 –
Fortinet 4.3.370.0 2011.08.30 W32/Ruskill.AGR!tr
GData 22 2011.08.30 Win32:VB-XRW
Ikarus T3.1.1.107.0 2011.08.30 Worm.Win32.Dorkbot
Jiangmin 13.0.900 2011.08.29 –
K7AntiVirus 9.111.5068 2011.08.29 –
Kaspersky 9.0.0.837 2011.08.30 –
McAfee 5.400.0.1158 2011.08.30 –
McAfee-GW-Edition 2010.1D 2011.08.30 –
Microsoft 1.7604 2011.08.30 Worm:Win32/Dorkbot.A
NOD32 6420 2011.08.30 –
Norman 6.07.10 2011.08.30 –
nProtect 2011-08-30.01 2011.08.30 Trojan/W32.Agent.155648.ACD
Panda 10.0.3.5 2011.08.30 W32/Vobfus.GEP
PCTools 8.0.0.5 2011.08.30 –
Prevx 3.0 2011.08.30 –
Rising 23.73.01.03 2011.08.30 –
Sophos 4.68.0 2011.08.30 –
SUPERAntiSpyware 4.40.0.1006 2011.08.30 –
Symantec 20111.2.0.82 2011.08.30 –
TheHacker 6.7.0.1.286 2011.08.29 –
TrendMicro 9.500.0.1008 2011.08.30 –
TrendMicro-HouseCall 9.500.0.1008 2011.08.30 –
VBA32 3.12.16.4 2011.08.30 –
VIPRE 10315 2011.08.30 Trojan.Win32.Generic!BT
ViRobot 2011.8.30.4647 2011.08.30 –
VirusBuster 14.0.191.0 2011.08.29 –
Additional information
MD5   : 95ebfeff3b7aae41bf4c0d2334e015b6
SHA1  : b58eeca6e3b3206a2b39a616cb79187120210147

File size : 155648 bytes
publisher….: Electro
copyright….: n/a
product……: CORAZONCORAZONCORAZONBANAN
description..: n/a
original name: CORAZONCORAZONBAN.exe
internal name: CORAZONCORAZONBAN
file version.: 12.989.0054
A partir de la version 23.76 del ELISTARA de hoy ya se controla y elimina esta nueva variante

Dicha version estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 30-8-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies