Nuevo DROPPER ALUREON.EN que crea fichero troyano e infecta el MBR
Un peligros nuevo especimen que viene como Adobe_Flash_Player.exe crea fichero troyano JAVAW.EXE e infecta MBR de forma que no deja escribir, aparte de usar técnicas Stealth, para dificultar su deteccion y eliminacion
A partir del ELISTARA 23.63 detectamos al fichero “dropper” como ALUREON EN.DR , Y al troyano creado, como ALUREON.EN
El MASTER BOOT RECORD infectado es solo cazado como ALUREON.EN.MBR cuando no esté residente en memoria, y en tal lo corregirá con el código básico del MBR. Mientras el virus está en memoria, las tecnicas Stealth impiden verlo y la nueva historia de impedir la escritura tampoco permite hacer la prueba de Stealth, por lo que en el infosat solo saldrá “ERROR ACCESO A ESCRITURA EN MBR”,en cuyo caso deberá arancarse co otro medio) (como el CD de instalacion de Windows) y proceder con un FIXMBR o lo que proceda, segun el sistema
Actualmente es poco detectado, 14 detecciones de 43 AV para el dropper, 15 de 43 en el troyano y solo 6 de 41 en el del MBR
File name:
Adobe_Flash_Player.exe
Submission date:
2011-07-13 18:26:17 (UTC)
Current status:
finished
Result:
14 /43 (32.6%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.14.00 2011.07.13 –
AntiVir 7.11.11.125 2011.07.13 TR/ATRAPS.Gen5
Antiy-AVL 2.0.3.7 2011.07.13 –
Avast 4.8.1351.0 2011.07.13 –
Avast5 5.0.677.0 2011.07.13 –
AVG 10.0.0.1190 2011.07.13 –
BitDefender 7.2 2011.07.13 Gen:Variant.Kazy.30178
CAT-QuickHeal 11.00 2011.07.13 –
ClamAV 0.97.0.0 2011.07.13 –
Commtouch 5.3.2.6 2011.07.13 –
Comodo 9369 2011.07.13 –
DrWeb 5.0.2.03300 2011.07.13 Trojan.Packed.2185
Emsisoft 5.1.0.8 2011.07.13 –
eSafe 7.0.17.0 2011.07.13 –
eTrust-Vet 36.1.8441 2011.07.13 –
F-Prot 4.6.2.117 2011.07.13 –
F-Secure 9.0.16440.0 2011.07.13 Gen:Variant.Kazy.30178
Fortinet 4.2.257.0 2011.07.13 –
GData 22 2011.07.13 Gen:Variant.Kazy.30178
Ikarus T3.1.1.104.0 2011.07.13 –
Jiangmin 13.0.900 2011.07.13 –
K7AntiVirus 9.108.4901 2011.07.13 –
Kaspersky 9.0.0.837 2011.07.13 –
McAfee 5.400.0.1158 2011.07.13 DNSChanger.cq.a
McAfee-GW-Edition 2010.1D 2011.07.13 DNSChanger.cq.a
Microsoft 1.7000 2011.07.13 Trojan:Win32/Alureon.EN
NOD32 6292 2011.07.13 a variant of Win32/Kryptik.QBM
Norman 6.07.10 2011.07.13 –
nProtect 2011-07-14.01 2011.07.13 Gen:Variant.Kazy.30178
Panda 10.0.3.5 2011.07.13 Adware/Fakerean_Lp.A
PCTools 8.0.0.5 2011.07.13 –
Prevx 3.0 2011.07.13 –
Rising 23.66.00.03 2011.07.11 –
Sophos 4.67.0 2011.07.13 Troj/FakeAV-EFZ
SUPERAntiSpyware 4.40.0.1006 2011.07.13 Trojan.Agent/Gen-RogueSoft
Symantec 20111.1.0.186 2011.07.13 –
TheHacker 6.7.0.1.253 2011.07.12 –
TrendMicro 9.200.0.1012 2011.07.13 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.13 –
VBA32 3.12.16.4 2011.07.13 –
VIPRE 9850 2011.07.13 FraudTool.Win32.FakeRean.a (v)
ViRobot 2011.7.13.4567 2011.07.13 –
VirusBuster 14.0.123.0 2011.07.13 –
Additional information
MD5 : 6b314e096cd6e4fccc44687420cb4f86
SHA1 : c46ac210e06aad56dda12df3c0ccebb45108a745
File size : 225280 bytes
publisher….: mY Systems
copyright….: mY Corp All Rights reserved
product……: Trial
description..: Trial Software
original name: ckmhvtqh.exe
internal name: ckmhvtqh
file version.: 3.172.24512 RC1.175
_________
Fichero troyano creado:
File name:
javaw.exe
Submission date:
2011-07-14 09:47:17 (UTC)
Current status:
finished
Result:
15/ 43 (34.9%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.14.01 2011.07.14 Malware/Win32.Generic
AntiVir 7.11.11.132 2011.07.14 TR/ATRAPS.Gen5
Antiy-AVL 2.0.3.7 2011.07.14 –
Avast 4.8.1351.0 2011.07.14 –
Avast5 5.0.677.0 2011.07.14 –
AVG 10.0.0.1190 2011.07.14 –
BitDefender 7.2 2011.07.14 Gen:Variant.Kazy.30153
CAT-QuickHeal 11.00 2011.07.13 –
ClamAV 0.97.0.0 2011.07.14 –
Commtouch 5.3.2.6 2011.07.14 –
Comodo 9376 2011.07.14 –
DrWeb 5.0.2.03300 2011.07.14 Trojan.Packed.2185
Emsisoft 5.1.0.8 2011.07.14 –
eSafe 7.0.17.0 2011.07.13 –
eTrust-Vet 36.1.8443 2011.07.14 –
F-Prot 4.6.2.117 2011.07.13 –
F-Secure 9.0.16440.0 2011.07.14 Gen:Variant.Kazy.30153
Fortinet 4.2.257.0 2011.07.14 –
GData 22 2011.07.14 Gen:Variant.Kazy.30153
Ikarus T3.1.1.104.0 2011.07.14 –
Jiangmin 13.0.900 2011.07.13 –
K7AntiVirus 9.108.4901 2011.07.13 –
Kaspersky 9.0.0.837 2011.07.14 –
McAfee 5.400.0.1158 2011.07.14 DNSChanger.cq.a
McAfee-GW-Edition 2010.1D 2011.07.14 DNSChanger.cq.a
Microsoft 1.7000 2011.07.14 Trojan:Win32/Alureon.EN
NOD32 6293 2011.07.14 a variant of Win32/Kryptik.QBM
Norman 6.07.10 2011.07.13 –
nProtect 2011-07-14.02 2011.07.14 Gen:Variant.Kazy.30153
Panda 10.0.3.5 2011.07.13 Adware/Fakerean_Lp.A
PCTools 8.0.0.5 2011.07.13 –
Prevx 3.0 2011.07.14 –
Rising 23.66.03.03 2011.07.14 –
Sophos 4.67.0 2011.07.14 Troj/FakeAV-EFZ
SUPERAntiSpyware 4.40.0.1006 2011.07.14 Trojan.Agent/Gen-RogueSoft
Symantec 20111.1.0.186 2011.07.14 –
TheHacker 6.7.0.1.255 2011.07.14 –
TrendMicro 9.200.0.1012 2011.07.14 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.14 –
VBA32 3.12.16.4 2011.07.13 –
VIPRE 9855 2011.07.14 FraudTool.Win32.FakeRean.a (v)
ViRobot 2011.7.14.4569 2011.07.14 –
VirusBuster 14.0.123.0 2011.07.13 –
Additional information
MD5 : c11d80e8ee263add2466f30500953296
SHA1 : c36de42ef60bf4ab3f58e39ede2c3b034b1d2519
File size : 163840 bytes
publisher….: mY Systems
copyright….: mY Corp All Rights reserved
product……: Trial
description..: Trial Software
original name: fwqot.exe
internal name: fwqot
file version.: 1.250.8762 RC1.1606
________
MASTER BOOT RECORD MODIFICADO:
File name:
MBR
Submission date:
2011-07-14 08:51:19 (UTC)
Current status:
finished
Result:
6 /41 (14.6%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.14.01 2011.07.14 –
AntiVir 7.11.11.131 2011.07.14 –
Antiy-AVL 2.0.3.7 2011.07.14 –
Avast 4.8.1351.0 2011.07.14 MBR:Sst [Rtk]
Avast5 5.0.677.0 2011.07.14 MBR:Sst [Rtk]
AVG 10.0.0.1190 2011.07.13 –
BitDefender 7.2 2011.07.14 –
CAT-QuickHeal 11.00 2011.07.13 –
ClamAV 0.97.0.0 2011.07.14 –
Commtouch 5.3.2.6 2011.07.14 –
Comodo 9376 2011.07.14 –
DrWeb 5.0.2.03300 2011.07.14 –
Emsisoft 5.1.0.8 2011.07.14 –
eTrust-Vet 36.1.8443 2011.07.14 Dos/Sst.A
F-Prot 4.6.2.117 2011.07.13 –
F-Secure 9.0.16440.0 2011.07.14 –
Fortinet 4.2.257.0 2011.07.14 –
GData 22 2011.07.14 MBR:Sst
Ikarus T3.1.1.104.0 2011.07.14 –
Jiangmin 13.0.900 2011.07.13 –
K7AntiVirus 9.108.4901 2011.07.13 –
Kaspersky 9.0.0.837 2011.07.14 Rootkit.Boot.Sst.a
McAfee 5.400.0.1158 2011.07.14 –
McAfee-GW-Edition 2010.1D 2011.07.14 –
Microsoft 1.7000 2011.07.14 Trojan:DOS/Alureon.C
NOD32 6292 2011.07.14 –
Norman 6.07.10 2011.07.13 –
nProtect 2011-07-14.02 2011.07.14 –
Panda 10.0.3.5 2011.07.13 –
PCTools 8.0.0.5 2011.07.13 –
Prevx 3.0 2011.07.14 –
Rising 23.66.00.03 2011.07.11 –
Sophos 4.67.0 2011.07.14 –
SUPERAntiSpyware 4.40.0.1006 2011.07.14 –
Symantec 20111.1.0.186 2011.07.14 –
TheHacker 6.7.0.1.255 2011.07.14 –
TrendMicro 9.200.0.1012 2011.07.14 –
TrendMicro-HouseCall 9.200.0.1012 2011.07.14 –
VBA32 3.12.16.4 2011.07.13 –
ViRobot 2011.7.14.4568 2011.07.14 –
VirusBuster 14.0.123.0 2011.07.13 –
Additional information
MD5 : 08a87fc04c4d8ff4d071a6fe9baa4b43
SHA1 : e9d39f82ad76b612c676cf0b4a25c83f35e4ee51
File size : 512 bytes
Dicha version del ELISTARA 2363 que los detecta y elimina, estará disponible en nuestra wen a partir de las 19 h CEST de hoy
saludos
ms, 14-7-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.