Nueva variante de ROOTKIT DORKBOT cazada por la heuristica del ELISTARA
El analisis heurístico del ELISTARA ha detectado un fichero sospechoso y pedido muestra para analizar del que ha resultado ser una variante del peligroso RootKit Dorkbot
El preanalisis con el VIRUSTOTAL ofrece el siguiente informe:
File name:
LQJYJJ.EXE.Muestra EliStartPage v23.69
Submission date:
2011-07-29 07:42:45 (UTC)
Current status:
finished
Result:
31/ 43 (72.1%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.29.00 2011.07.29 Win-Trojan/Ruskill.155648.B
AntiVir 7.11.12.162 2011.07.29 Worm/Agent.155648.7
Antiy-AVL 2.0.3.7 2011.07.29 –
Avast 4.8.1351.0 2011.07.28 Win32:Dropper-gen [Drp]
Avast5 5.0.677.0 2011.07.28 Win32:Dropper-gen [Drp]
AVG 10.0.0.1190 2011.07.29 Worm/Generic2.AVSU
BitDefender 7.2 2011.07.29 Worm.Generic.338817
CAT-QuickHeal 11.00 2011.07.29 –
ClamAV 0.97.0.0 2011.07.29 –
Commtouch 5.3.2.6 2011.07.29 –
Comodo 9551 2011.07.29 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.07.29 Trojan.DownLoader4.22519
Emsisoft 5.1.0.8 2011.07.29 Backdoor.Win32.Ruskill!IK
eSafe 7.0.17.0 2011.07.27 Win32.WormDorkbot.A
eTrust-Vet 36.1.8470 2011.07.28 –
F-Prot 4.6.2.117 2011.07.29 –
F-Secure 9.0.16440.0 2011.07.29 Worm.Generic.338817
Fortinet 4.2.257.0 2011.07.29 W32/VB.XX!tr
GData 22 2011.07.29 Worm.Generic.338817
Ikarus T3.1.1.104.0 2011.07.29 Backdoor.Win32.Ruskill
Jiangmin 13.0.900 2011.07.28 –
K7AntiVirus 9.109.4957 2011.07.28 –
Kaspersky 9.0.0.837 2011.07.29 Backdoor.Win32.Ruskill.afz
McAfee 5.400.0.1158 2011.07.29 Generic.grp!o
McAfee-GW-Edition 2010.1D 2011.07.29 Generic.grp!o
Microsoft 1.7104 2011.07.29 Worm:Win32/Dorkbot.A
NOD32 6333 2011.07.29 a variant of Win32/Injector.HVV
Norman 6.07.10 2011.07.29 W32/Suspicious_Gen2.NRRHT
nProtect 2011-07-29.01 2011.07.29 Trojan/W32.Agent.155648.ACD
Panda 10.0.3.5 2011.07.28 Generic Worm
PCTools 8.0.0.5 2011.07.29 –
Prevx 3.0 2011.07.29 Medium Risk Malware
Rising 23.68.02.03 2011.07.27 –
Sophos 4.67.0 2011.07.29 Mal/VB-XX
SUPERAntiSpyware 4.40.0.1006 2011.07.29 –
Symantec 20111.1.0.186 2011.07.29 WS.Reputation.1
TheHacker 6.7.0.1.264 2011.07.28 Backdoor/Ruskill.agu
TrendMicro 9.200.0.1012 2011.07.29 TROJ_GEN.RC1C2GO
TrendMicro-HouseCall 9.200.0.1012 2011.07.29 TROJ_SPNR.02GS11
VBA32 3.12.16.4 2011.07.28 –
VIPRE 9998 2011.07.29 Trojan.Win32.Generic!BT
ViRobot 2011.7.29.4594 2011.07.29 Trojan.Win32.Agent.155648.AY
VirusBuster 14.0.144.0 2011.07.28 Backdoor.Ruskill!i2I0YKj5R2E
Additional information
MD5 : 6d20cc89e75aed8c23feea51b734eda0
SHA1 : c2834335c593d40479816982e9aa808ee03ff034
File size : 155648 bytes
publisher….: Nautica
copyright….: n/a
product……: In The Middle Of The Night
description..: n/a
original name: Put the gun down1.exe
internal name: Put the gun down1
file version.: 12.989.0054
Se recuerda que este RootKit es prácticamente indetectable mediante escaneo cuando está en memoria , y solo por su accion en los pendrives es visible y detectable. (oculta carpetas y crea links a las mismas cargando el malware)
Ya el ELISTARA lo aparca por sospechoso y pide envio de muetsra para analizar y controlar, pero si se quiere analizar los ficheros del disco duro y unidades extraibles, se logra con el ELIMD5.EXE entrando el correspondiente hash : 6d20cc89e75aed8c23feea51b734eda0 (Por supuesto hacerlo arrancando en MODO SEGURO para que el RootKit no esté en memoria !!! )
Y como sea que estos Rottkits, además de la acción indicada, tambien crean un AUTORUN.INF malicioso, vacunar ordenadores y pendrives con el ELIPEN.
saludos
ms, 29-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.