Nuevas variantes de temporales descargados por el VBNA que generan infeccion de ALUREON en el MBR
Entre los malwares que descarga el worm VBNA figuran dos temporales que uno utiliza como EXE y el otro como DLL
El 4.TMP lo ejecuta como EXE y ya es detectado por 13 AV de los 37 que se detallan en el siguiente informe:
Scanned time : 2011/04/15 09:57:30 (CEST)
Scanner results: 35% Escaner (13/37) encontró infección
File Name : 4.tmp
File Size : 132096 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 0a4eb5b507d6a664604dcb430677aa1f
SHA1 : 963ad55323a5cd7b16b7af17dedcfdb294efc88d
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.2 20110415031442 2011-04-15 5.14 –
AhnLab V3 2011.04.14.00 2011.04.14 2011-04-14 6.81 –
AntiVir 8.2.4.208 7.11.6.133 2011-04-15 0.29 TR/Crypt.XPACK.Gen
Antiy 2.0.18 20110205.7694535 2011-02-05 0.02 –
Arcavir 2011 201103241627 2011-03-24 0.03 –
Authentium 5.1.1 201104142251 2011-04-14 1.47 –
AVAST! 4.7.4 110414-2 2011-04-14 0.01 –
AVG 8.5.850 271.1.1/3574 2011-04-15 0.24 Cryptic.COX
BitDefender 7.90123.7116508 7.37093 2011-04-15 6.42 Gen:Variant.Kazy.18994
ClamAV 0.96.5 12983 2011-04-15 0.04 –
Comodo 4.0 8344 2011-04-14 1.50 –
CP Secure 1.3.0.5 2011.04.15 2011-04-15 0.07 –
Dr.Web 5.0.2.3300 2011.04.15 2011-04-15 12.04 BackDoor.Tdss.based.7
F-Prot 4.4.4.56 20110414 2011-04-14 1.54 –
F-Secure 7.02.73807 2011.04.15.01 2011-04-15 0.27 Trojan-Downloader.Win32.CodecPack.aqmm [AVP]
Fortinet 4.2.257 13.113 2011-04-14 0.24 W32/TDSS.ADU!tr
GData 22.77/22.38 20110415 2011-04-15 9.02 Trojan-Downloader.Win32.CodecPack.aqmm [Engine:A]
ViRobot 20110414 2011.04.14 2011-04-14 0.38 –
Ikarus T3.1.32.20.0 2011.04.15.78175 2011-04-15 4.56 –
JiangMin 13.0.900 2011.03.30 2011-03-30 2.52 –
Kaspersky 5.5.10 2011.04.15 2011-04-15 0.09 Trojan-Downloader.Win32.CodecPack.aqmm
KingSoft 2009.2.5.15 2011.4.15.14 2011-04-15 0.94 –
McAfee 5400.1158 6316 2011-04-14 8.51 Generic Dropper.va.gen.q
Microsoft 1.6702 2011.04.15 2011-04-15 11.57 –
NOD32 3.0.21 6040 2011-04-14 0.03 a variant of Win32/Olmarik.ASC trojan
Norman 6.07.08 6.07.00 2011-04-13 16.02 –
Panda 9.05.01 2011.04.14 2011-04-14 2.09 –
Trend Micro 9.200-1012 7.978.06 2011-04-14 0.02 BKDR_TDSS.SMZ
Quick Heal 11.00 2011.04.14 2011-04-14 0.95 –
Rising 20.0 23.53.03.06 2011-04-14 2.02 Trojan.Win32.Generic.128537A9
Sophos 3.18.0 4.64 2011-04-15 3.49 –
Sunbelt 3.9.2490.2 9015 2011-04-14 1.91 –
Symantec 1.3.0.24 20110414.002 2011-04-14 0.02 –
nProtect 20110414.01 3356712 2011-04-14 9.19 –
The Hacker 6.7.0.1 v00173 2011-04-12 0.55 –
VBA32 3.12.16.0 20110413.1306 2011-04-13 3.96 Trojan.TDSS.7
VirusBuster 5.2.0.28 13.6.305.0/49657232011-04-14 0.00 –
y el 5.TMP es el que utiliza como DLL, solo lo detectan 10 de los 37 AV
Scanned time : 2011/04/15 10:06:00 (CEST)
Scanner results: 27% Escaner (10/37) encontró infección
File Name : 5.tmp
File Size : 132096 byte
File Type : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5 : b05dc33120d0f28500c95d87d512eb55
SHA1 : 964996be84e89e375fdbf169b757f797b5d76d49
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.2 20110415031442 2011-04-15 5.30 –
AhnLab V3 2011.04.14.00 2011.04.14 2011-04-14 1.40 –
AntiVir 8.2.4.208 7.11.6.133 2011-04-15 1.67 TR/Crypt.XPACK.Gen2
Antiy 2.0.18 20110205.7694535 2011-02-05 0.02 –
Arcavir 2011 201103241627 2011-03-24 0.32 –
Authentium 5.1.1 201104142251 2011-04-14 1.69 –
AVAST! 4.7.4 110414-2 2011-04-14 0.04 –
AVG 8.5.850 271.1.1/3574 2011-04-15 0.35 Cryptic.COX
BitDefender 7.90123.7116508 7.37093 2011-04-15 9.69 Trojan.Generic.KDV.187939
ClamAV 0.96.5 12983 2011-04-15 0.06 –
Comodo 4.0 8344 2011-04-14 1.48 –
CP Secure 1.3.0.5 2011.04.15 2011-04-15 0.07 –
Dr.Web 5.0.2.3300 2011.04.15 2011-04-15 11.72 BackDoor.Tdss.based.7
F-Prot 4.4.4.56 20110414 2011-04-14 1.49 –
F-Secure 7.02.73807 2011.04.15.01 2011-04-15 0.19 –
Fortinet 4.2.257 13.113 2011-04-14 1.56 W32/TDSS.ADU!tr
GData 22.77/22.38 20110415 2011-04-15 16.88 –
ViRobot 20110414 2011.04.14 2011-04-14 1.00 –
Ikarus T3.1.32.20.0 2011.04.15.78175 2011-04-15 4.88 –
JiangMin 13.0.900 2011.03.30 2011-03-30 1.40 –
Kaspersky 5.5.10 2011.04.15 2011-04-15 0.29 –
KingSoft 2009.2.5.15 2011.4.15.14 2011-04-15 0.87 –
McAfee 5400.1158 6316 2011-04-14 8.96 Generic Dropper.va.gen.q
Microsoft 1.6702 2011.04.15 2011-04-15 9.34 –
NOD32 3.0.21 6040 2011-04-14 0.03 a variant of Win32/Olmarik.ASC trojan
Norman 6.07.08 6.07.00 2011-04-13 16.03 –
Panda 9.05.01 2011.04.14 2011-04-14 16.91 –
Trend Micro 9.200-1012 7.978.06 2011-04-14 0.02 BKDR_TDSS.SMZ
Quick Heal 11.00 2011.04.14 2011-04-14 9.75 –
Rising 20.0 23.53.03.06 2011-04-14 5.13 Trojan.Win32.Generic.128537A4
Sophos 3.18.0 4.64 2011-04-15 3.47 –
Sunbelt 3.9.2490.2 9015 2011-04-14 3.84 –
Symantec 1.3.0.24 20110414.002 2011-04-14 0.02 –
nProtect 20110414.01 3356712 2011-04-14 13.90 –
The Hacker 6.7.0.1 v00173 2011-04-12 0.49 –
VBA32 3.12.16.0 20110413.1306 2011-04-13 5.46 Trojan.TDSS.7
VirusBuster 5.2.0.28 13.6.305.0/49657232011-04-14 0.00 –
Estos dos ficheros son los causantes de instalar el ALUREON en el MBR, pero desaparecen despues de su ejecucion, si bien a pesar de ello es muy importante que los AntiVirus los detecten para impedir su ejecucion, mientras estan residentes, aunque luego ya no se detectan ni haga falta que los eliminen, al desaparecer por sí solos, una vez hechasu maliciosa labor de modificar el MBR.
El ALUREON en el MBR sigue siendo el ya conocido y controlado por el actual ELISTARA 23.05
saludos
ms, 15-4-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.