Nueva variante de ROOTKIT DORKBOT muy poco detectado por los AV actuales (solo 8 de 44)

Una vez mas la heuristica del ELISTARA ha cazado una nueva variante de RootKit DORKBOT que pasamos a controlar a partir del ELISTARA 23.79 de hoy.

AL SER ROOTKIT, ES IMPORTANTE ARRANCAR EN MODO SEGURO, o con un usuario no infectado, y lanzar el ELISTARA para eliminar todos los DORKBOT

De todas formas, muchos AV aun no lo detectan ni en dicho modo, como puede verse en el preanalisis de la muestra subida a VirusTotal:

File name:
Odoiow.exe
Submission date:
2011-09-02 06:19:12 (UTC)
Current status:
finished
Result:
8 /44 (18.2%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.09.02.00  2011.09.02  –
AntiVir  7.11.14.67  2011.09.01  –
Antiy-AVL  2.0.3.7  2011.09.02  –
Avast  4.8.1351.0  2011.09.01  –
Avast5  5.0.677.0  2011.09.01  –
AVG  10.0.0.1190  2011.09.02  –
BitDefender  7.2  2011.09.02  –
ByteHero  None  2011.09.02  –
CAT-QuickHeal  11.00  2011.09.02  –
ClamAV  0.97.0.0  2011.09.02  –
Commtouch  5.3.2.6  2011.09.02  –
Comodo  9961  2011.09.02  UnclassifiedMalware
DrWeb  5.0.2.03300  2011.09.02  BackDoor.Siggen.34373
Emsisoft  5.1.0.11  2011.09.02  Worm.Win32.Dorkbot!IK
eSafe  7.0.17.0  2011.09.01  –
eTrust-Vet  36.1.8535  2011.09.01  –
F-Prot  4.6.2.117  2011.09.02  –
F-Secure  9.0.16440.0  2011.09.02  –
Fortinet  4.3.370.0  2011.09.02  W32/Refroso.AGEA!tr
GData  22  2011.09.02  –
Ikarus  T3.1.1.107.0  2011.09.02  Worm.Win32.Dorkbot
Jiangmin  13.0.900  2011.09.01  –
K7AntiVirus  9.111.5080  2011.09.01  –
Kaspersky  9.0.0.837  2011.09.02  –
McAfee  5.400.0.1158  2011.09.02  Downloader-CNO.a
McAfee-GW-Edition  2010.1D  2011.09.02  Artemis!862D7B86873F
Microsoft  1.7604  2011.09.02  –
NOD32  6428  2011.09.02  –
Norman  6.07.11  2011.09.01  –
nProtect  2011-09-01.01  2011.09.01  –
Panda  10.0.3.5  2011.09.01  Suspicious file
PCTools  8.0.0.5  2011.09.02  –
Prevx  3.0  2011.09.02  –
Rising  23.73.01.03  2011.08.30  –
Sophos  4.69.0  2011.09.02  –
SUPERAntiSpyware  4.40.0.1006  2011.09.02  –
Symantec  20111.2.0.82  2011.09.02  –
TheHacker  6.7.0.1.287  2011.09.02  –
TrendMicro  9.500.0.1008  2011.09.01  –
TrendMicro-HouseCall  9.500.0.1008  2011.09.02  –
VBA32  3.12.16.4  2011.08.31  –
VIPRE  10344  2011.09.02  –
ViRobot  2011.9.2.4652  2011.09.02  –
VirusBuster  14.0.197.0  2011.09.01  –
Additional information
MD5   : 862d7b86873fb8104c0e642566165630
SHA1  : 3740154e5cdceea30f93df4b24b46ea938eead54
publisher….: Supervisor.
copyright….: n/a
product……: LIMOONADAPEEN
description..: n/a
original name: LIMOONADA ENCE.scr
internal name: LIMOONADA ENCE_
file version.: 3007.02.0093

Dicha version del ELISTARA 23.79 estará disponible en nuestra web a partir de las 15 horas CEST de hoy

Se recuerda que este malware afecta a los pendrives, ocultando sus carpetas y creando accesos directos a ellas cargando en dicho proceso dicho malware, lo cual es restaurado por el ELISTARA, al procesar dichos pendrives, si no se ha eliminado antes el fichero de marras.

saludos

ms, 2-9-2011