Nueva variante de worm DORKBOT (ROOTKIT)

Publicado el 24 mayo 2011 ¬ 15:50 pmh.mscComentarios desactivados en Nueva variante de worm DORKBOT (ROOTKIT)

Otra variante de esta familia de Rootkits, que no se ve en el disco duro, ni en claves de registro ni en fichero (por su accion de RootKit) y solo se ven modificaciones en los pendrives insertados, ya que oculta sus carpetas y crea links a ellas, tras la carga del malware.  Y si no hay carpetas, lo hace con la de Recycler, que está en todas partes, incluso en los pendrives, y crea link a RECYCLER, con la susodicha carga del malware con ello.

Dado que VirusTOtakl está saturado, lo hemos preanalizado con un analizador alternativo, con 37 motores de AV, de los cuales solo 4 lo han detectado:

Scanned time   : 2011/05/24 15:39:45 (CEST)
Scanner results: 11% Escaner (4/37) encontró infección
File Name      : WMFYFU.EXE.Muestra EliStartPage v23.26
File Size      : 163840 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 165ea8c1778ab64ac010aa09e6437a66
SHA1           : 778d01d684443452214494a155661ef898cddde1
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110524181224    2011-05-24  6.03   Trojan.VBCrypt!IK
AhnLab V3      2011.05.24.03   2011.05.24        2011-05-24  5.68   –
AntiVir        8.2.4.242       7.11.8.117        2011-05-24  2.57   –
Antiy          2.0.18          20110205.7694535  2011-02-05  0.56   –
Arcavir        2011            201105080215      2011-05-08  0.01   –
Authentium     5.1.1           201105240459      2011-05-24  2.22   –
AVAST!         4.7.4           110523-1          2011-05-23  0.01   –
AVG            8.5.850         271.1.1/3656      2011-05-24  0.26   VBCrypt.ALP
BitDefender    7.90123.7406640 7.37559           2011-05-24  0.00   –
ClamAV         0.96.5          13106             2011-05-24  0.05   –
Comodo         4.0             8817              2011-05-24  2.01   –
CP Secure      1.3.0.5         2011.05.24        2011-05-24  0.07   –
Dr.Web         5.0.2.3300      2011.05.24        2011-05-24  12.38  –
F-Prot         4.4.4.56        20110524          2011-05-24  1.43   –
F-Secure       7.02.73807      2011.05.24.02     2011-05-24  0.23   –
Fortinet       4.2.257         13.251            2011-05-21  4.97   –
GData          22.430/22.119   20110524          2011-05-24  11.04  –
ViRobot        20110523        2011.05.23        2011-05-23  0.86   –
Ikarus         T3.1.32.20.0    2011.05.24.78460  2011-05-24  5.57   Trojan.VBCrypt
JiangMin       13.0.900        2011.05.23        2011-05-23  1.74   –
Kaspersky      5.5.10          2011.05.23        2011-05-23  0.27   –
KingSoft       2009.2.5.15     2011.5.24.18      2011-05-24  1.08   –
McAfee         5400.1158       6340              2011-05-08  10.07  –
Microsoft      1.6903          2011.05.24        2011-05-24  6.76   –
NOD32          3.0.21          6138              2011-05-20  0.03   –
Norman         6.07.08         6.07.00           2011-05-23  12.02  –
Panda          9.05.01         2011.05.23        2011-05-23  3.98   –
Trend Micro    9.200-1012      8.176.06          2011-05-24  0.07   –
Quick Heal     11.00           2011.05.23        2011-05-23  3.53   –
Rising         20.0            23.59.01.04       2011-05-24  2.64   –
Sophos         3.19.1          4.65              2011-05-24  3.65   –
Sunbelt        3.9.2493.2      9375              2011-05-24  1.01   –
Symantec       1.3.0.24        20110523.002      2011-05-23  0.06   –
nProtect       20110523.01     3455920           2011-05-23  7.16   Trojan/W32.Agent.163840.ADH
The Hacker     6.7.0.1         v00176            2011-04-18  0.45   –
VBA32          3.12.16.0       20110523.2045     2011-05-23  4.95   –
VirusBuster    5.2.0.28        13.6.369.0/52201022011-05-23  0.00   –
Tengase en cuenta que en este analizador no se usa el motor heuristico ARTEMIS del McAfee, que tan buenos resultados nos da en detecciones de sospechosos con su heurística avanzada.

De todas formas ya se ve que lo detectan muy pocos, pasando nosotros a controlarlo a partir de la version 23.28 del ELISTARA de hoy, que estará disponible en nuestra web a partir de las 19 h CEST.

saludos

ms, 24-5-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies