Nueva variante de SPY_ZBOT VZB, similar al SPY_ZBOT VZA
Una nueva variante de RootKit de la familia Buzus, muy similar al ya controlado como SPY-ZBOT VZA, pero esta vez con nombre variable, pasa a ser controlado a partir del ELISTARA 24.10 de hoy
El preanalisis de VirusTotal ofrece el siguiente informe:
File name: B8DEA5BB739.exe
Submission date: 2011-10-18 07:12:19 (UTC)
Current status: finished
Result: 23 /43 (53.5%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.10.17.00 2011.10.17 Trojan/Win32.Agent
AntiVir 7.11.16.29 2011.10.17 –
Antiy-AVL 2.0.3.7 2011.10.18 –
Avast 6.0.1289.0 2011.10.18 Win32:Buterat-FG [Trj]
AVG 10.0.0.1190 2011.10.17 Generic25.AEVR
BitDefender 7.2 2011.10.18 –
ByteHero 1.0.0.1 2011.09.23 –
CAT-QuickHeal None 2011.10.18 –
ClamAV 0.97.0.0 2011.10.18 –
Commtouch 5.3.2.6 2011.10.18 –
Comodo 10482 2011.10.18 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.10.18 BackDoor.Butirat.26
Emsisoft 5.1.0.11 2011.10.18 Trojan.Win32.Buzus!IK
eSafe 7.0.17.0 2011.10.17 –
eTrust-Vet 36.1.8624 2011.10.17 –
F-Prot 4.6.5.141 2011.10.17 –
F-Secure 9.0.16440.0 2011.10.18 –
Fortinet 4.3.370.0 2011.10.18 W32/Yoddos.GG!tr
GData 22 2011.10.18 Win32:Buterat-FG
Ikarus T3.1.1.107.0 2011.10.18 Trojan.Win32.Buzus
Jiangmin 13.0.900 2011.10.17 Trojan/Buzus.ahbi
K7AntiVirus 9.115.5300 2011.10.17 Trojan
Kaspersky 9.0.0.837 2011.10.18 Trojan.Win32.Buzus.ivbl
McAfee 5.400.0.1158 2011.10.18 Artemis!26CADAE43FC3
McAfee-GW-Edition 2010.1D 2011.10.17 Artemis!26CADAE43FC3
Microsoft 1.7702 2011.10.18 Trojan:Win32/EyeStye.N
NOD32 6551 2011.10.18 a variant of Win32/Injector.JZB
Norman 6.07.11 2011.10.18 –
nProtect 2011-10-18.01 2011.10.18 –
Panda 10.0.3.5 2011.10.17 Trj/CI.A
PCTools 8.0.0.5 2011.10.18 Trojan.ADH
Prevx 3.0 2011.10.18 –
Rising 23.80.01.02 2011.10.18 –
Sophos 4.70.0 2011.10.18 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.10.18 –
Symantec 20111.2.0.82 2011.10.18 Trojan.ADH.2
TheHacker 6.7.0.1.325 2011.10.17 –
TrendMicro 9.500.0.1008 2011.10.18 TROJ_GEN.R42C1JH
TrendMicro-HouseCall 9.500.0.1008 2011.10.18 TROJ_GEN.R42C1JH
VBA32 3.12.16.4 2011.10.17 –
VIPRE 10796 2011.10.18 Trojan.Win32.Generic!BT
ViRobot 2011.10.18.4724 2011.10.18 –
VirusBuster 14.1.16.0 2011.10.17 –
Additional informationShow all
MD5 : 26cadae43fc3e452e35c6637ce230f12
SHA1 : 55d8136525bb1085404a45c82b91bd6373e3df12
File size : 176168 bytes
Como la variante anterior indicada, este SPY ZBOT_VZB
– Queda residente.
– Se autoborra.
– Con tecnicas RootKit
(oculta Proceso, carpeta, fichero y clave del registro)
– Periodicamente intenta conectar a Internet. ¿¿??
– Baja el Nivel de seguridad del Internet Explorer
– Provoca el tipico doble acento.
– la version VZA Ralentiza mucho el sistema.
y a diferencia del anterior el nombre es variable:
C:\ $Recycle$\ <nombre variable>.exe (carpeta +h)
(En lugar de ver la carpeta “$Recycle$” el bicho muestra una carpeta
sin nombre. Al acceder a ella, nos muestra el contenido del ROOT
ciclicamente)
Se aconseja arrancar en MODO SEGURO PARA SU CONTROL Y ELIMINACION.
saludos
ms, 18-10-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.