Nueva variante potenciada de ROOTKIT DORKBOT, que además de los links en los pendrive, crea AUTORUN.INF

Nueva gama de ROOTKIT DORKBOT potenciada respecto los que recibimos ayer, ya que además de lo que ya vimos de crear links en los pendrives para lanzar el malware, en este caso además usa la tecnica tipica de propagacion de los virus de poendrive a través del AUTORUN.INF

Aparte modifica varias claves del registro que enmarañan mas su deteccion y eliminacion, asi como que el AUTORUN.INF de los pendrives lo rellana de codigo aleatorio (paja) para dificultar su identificacion.

De todas formas, a partir del ELISTARA 23.32 de hoy pasamos a controlar dicha nueva variante.

Además, en este caso, como para todos los virus que se transmiten por el AUTORUN,INF del pendrive, aconsejamos vacunar ordenador y pendrives con el ELIPEN.
El preanalisis del VirusTotal nos ofrece el siguiente resultado:

File name:
bvpepf.exe
Submission date:
2011-05-27 10:15:08 (UTC)
Current status:
finished
Result:
21 /43 (48.8%)

VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus  Version  Last Update  Result
AhnLab-V3  2011.05.27.01  2011.05.27  Trojan/Win32.VBKrypt
AntiVir  7.11.8.155  2011.05.27  TR/VBKrypt.dbam
Antiy-AVL  2.0.3.7  2011.05.27  –
Avast  4.8.1351.0  2011.05.27  Win32:Malware-gen
Avast5  5.0.677.0  2011.05.27  Win32:Malware-gen
AVG  10.0.0.1190  2011.05.27  Generic22.BDGW
BitDefender  7.2  2011.05.27  Trojan.Generic.6047078
CAT-QuickHeal  11.00  2011.05.27  Trojan.Agent.gen
ClamAV  0.97.0.0  2011.05.27  –
Commtouch  5.3.2.6  2011.05.26  –
Comodo  8855  2011.05.27  –
DrWeb  5.0.2.03300  2011.05.27  Trojan.DownLoader3.2052
Emsisoft  5.1.0.5  2011.05.27  Trojan.SuspectCRC!IK
eSafe  7.0.17.0  2011.05.26  –
eTrust-Vet  36.1.8352  2011.05.27  –
F-Prot  4.6.2.117  2011.05.26  –
F-Secure  9.0.16440.0  2011.05.27  Trojan.Generic.6047078
Fortinet  4.2.257.0  2011.05.27  W32/VBKrypt.DBAM!tr
GData  22  2011.05.27  Trojan.Generic.6047078
Ikarus  T3.1.1.104.0  2011.05.27  Trojan.SuspectCRC
Jiangmin  13.0.900  2011.05.26  –
K7AntiVirus  9.104.4726  2011.05.26  Trojan
Kaspersky  9.0.0.837  2011.05.27  Trojan.Win32.VBKrypt.dbam
McAfee  5.400.0.1158  2011.05.27  –
McAfee-GW-Edition  2010.1D  2011.05.27  Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft  1.6903  2011.05.27  Worm:Win32/Dorkbot
NOD32  6157  2011.05.27  –
Norman  6.07.07  2011.05.26  –
nProtect  2011-05-27.01  2011.05.27  Trojan.Generic.6047078
Panda  10.0.3.5  2011.05.26  Trj/CI.A
PCTools  7.0.3.5  2011.05.19  –
Prevx  3.0  2011.05.27  –
Rising  23.59.02.05  2011.05.25  –
Sophos  4.65.0  2011.05.27  Mal/Generic-L
SUPERAntiSpyware  4.40.0.1006  2011.05.27  –
Symantec  20111.1.0.186  2011.05.27  –
TheHacker  6.7.0.1.211  2011.05.27  –
TrendMicro  9.200.0.1012  2011.05.27  –
TrendMicro-HouseCall  9.200.0.1012  2011.05.27  –
VBA32  3.12.16.0  2011.05.27  –
VIPRE  9403  2011.05.27  Trojan.Win32.Generic!BT
ViRobot  2011.5.27.4482  2011.05.27  –
VirusBuster  13.6.372.0  2011.05.26  –
Additional information
Show all
MD5   : 2bc7513a455570f7a25901d7cfad2a96
SHA1  : 113de3235cdbee3da3455aa6a3aefa60d8bef264

File size : 225792 bytes

publisher….: qbx
copyright….: n/a
product……: pmslwg
description..: a
original name: kagj.exe
internal name: kagj
file version.: 28.29.0009
comments…..: jcieu

Dicha version del ELISTARA 23.31 que lo detecta y elimina,, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 27-5-2011