Nueva variante de worm DORKBOT (ROOTKIT)
Otra variante de esta familia de Rootkits, que no se ve en el disco duro, ni en claves de registro ni en fichero (por su accion de RootKit) y solo se ven modificaciones en los pendrives insertados, ya que oculta sus carpetas y crea links a ellas, tras la carga del malware. Y si no hay carpetas, lo hace con la de Recycler, que está en todas partes, incluso en los pendrives, y crea link a RECYCLER, con la susodicha carga del malware con ello.
Dado que VirusTOtakl está saturado, lo hemos preanalizado con un analizador alternativo, con 37 motores de AV, de los cuales solo 4 lo han detectado:
Scanned time : 2011/05/24 15:39:45 (CEST)
Scanner results: 11% Escaner (4/37) encontró infección
File Name : WMFYFU.EXE.Muestra EliStartPage v23.26
File Size : 163840 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 165ea8c1778ab64ac010aa09e6437a66
SHA1 : 778d01d684443452214494a155661ef898cddde1
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.2 20110524181224 2011-05-24 6.03 Trojan.VBCrypt!IK
AhnLab V3 2011.05.24.03 2011.05.24 2011-05-24 5.68 –
AntiVir 8.2.4.242 7.11.8.117 2011-05-24 2.57 –
Antiy 2.0.18 20110205.7694535 2011-02-05 0.56 –
Arcavir 2011 201105080215 2011-05-08 0.01 –
Authentium 5.1.1 201105240459 2011-05-24 2.22 –
AVAST! 4.7.4 110523-1 2011-05-23 0.01 –
AVG 8.5.850 271.1.1/3656 2011-05-24 0.26 VBCrypt.ALP
BitDefender 7.90123.7406640 7.37559 2011-05-24 0.00 –
ClamAV 0.96.5 13106 2011-05-24 0.05 –
Comodo 4.0 8817 2011-05-24 2.01 –
CP Secure 1.3.0.5 2011.05.24 2011-05-24 0.07 –
Dr.Web 5.0.2.3300 2011.05.24 2011-05-24 12.38 –
F-Prot 4.4.4.56 20110524 2011-05-24 1.43 –
F-Secure 7.02.73807 2011.05.24.02 2011-05-24 0.23 –
Fortinet 4.2.257 13.251 2011-05-21 4.97 –
GData 22.430/22.119 20110524 2011-05-24 11.04 –
ViRobot 20110523 2011.05.23 2011-05-23 0.86 –
Ikarus T3.1.32.20.0 2011.05.24.78460 2011-05-24 5.57 Trojan.VBCrypt
JiangMin 13.0.900 2011.05.23 2011-05-23 1.74 –
Kaspersky 5.5.10 2011.05.23 2011-05-23 0.27 –
KingSoft 2009.2.5.15 2011.5.24.18 2011-05-24 1.08 –
McAfee 5400.1158 6340 2011-05-08 10.07 –
Microsoft 1.6903 2011.05.24 2011-05-24 6.76 –
NOD32 3.0.21 6138 2011-05-20 0.03 –
Norman 6.07.08 6.07.00 2011-05-23 12.02 –
Panda 9.05.01 2011.05.23 2011-05-23 3.98 –
Trend Micro 9.200-1012 8.176.06 2011-05-24 0.07 –
Quick Heal 11.00 2011.05.23 2011-05-23 3.53 –
Rising 20.0 23.59.01.04 2011-05-24 2.64 –
Sophos 3.19.1 4.65 2011-05-24 3.65 –
Sunbelt 3.9.2493.2 9375 2011-05-24 1.01 –
Symantec 1.3.0.24 20110523.002 2011-05-23 0.06 –
nProtect 20110523.01 3455920 2011-05-23 7.16 Trojan/W32.Agent.163840.ADH
The Hacker 6.7.0.1 v00176 2011-04-18 0.45 –
VBA32 3.12.16.0 20110523.2045 2011-05-23 4.95 –
VirusBuster 5.2.0.28 13.6.369.0/52201022011-05-23 0.00 –
Tengase en cuenta que en este analizador no se usa el motor heuristico ARTEMIS del McAfee, que tan buenos resultados nos da en detecciones de sospechosos con su heurística avanzada.
De todas formas ya se ve que lo detectan muy pocos, pasando nosotros a controlarlo a partir de la version 23.28 del ELISTARA de hoy, que estará disponible en nuestra web a partir de las 19 h CEST.
saludos
ms, 24-5-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.