NUEVO ROOTKIT muy poco detectado por los AV actuales (por solo 6 de 43)

Una nueva variante del SpyExe,  se oculta en un fichero CLEANSWEEP.EXE que se lanza desde la carpeta del mismo nombre (C:\CLEANSWEEP\CLEANSWEEP.EXE)  desde una clave del registro , sin que pueda verse dicha clave, ni la carpeta, ni el fichero, una vez hay dicho ROOTKIT en memoria.
Pasamos a controlarlo a partir del ELISTARA 23.27 de hoy, el cual recomendamos lanzarlo arrancando EN MODO SEGURO en una sesion del usuario afectado.
El principal sintoma cuando no hay conexion, es que dice que quiere conectarse, mostrando esta ventana en el escritorio:

conexion cleansweep.jpg

y el resto de caracteristicas que sobresalen, son:

– Se autoborra de su ubicación inicial.
– Queda residente.
– Usa Tecnicas RootKit. (oculta Proceso, fichero y claves del Registro de sistema)
– Modifica la Seguridad del Internet Explorer
– Periodicamente intenta conectar a internet
(sin conexión provoca la típica pregunta si quiere
“trabajar sin conexión”)

El preanalisis de dicho fichero con el VirusTotal, indica:

File name: cleansweep.vir
Submission date: 2011-05-23 08:30:29 (UTC)
Current status: finished
Result: 6/ 43 (14.0%)
VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.05.23.01 2011.05.23 –
AntiVir 7.11.8.98 2011.05.23 –
Antiy-AVL 2.0.3.7 2011.05.23 –
Avast 4.8.1351.0 2011.05.22 –
Avast5 5.0.677.0 2011.05.22 –
AVG 10.0.0.1190 2011.05.22 –
BitDefender 7.2 2011.05.23 –
CAT-QuickHeal 11.00 2011.05.22 (Suspicious) – DNAScan
ClamAV 0.97.0.0 2011.05.23 –
Commtouch 5.3.2.6 2011.05.22 –
Comodo 8803 2011.05.23 –
DrWeb 5.0.2.03300 2011.05.23 –
Emsisoft 5.1.0.5 2011.05.23 –
eSafe 7.0.17.0 2011.05.22 –
eTrust-Vet 36.1.8342 2011.05.23 –
F-Prot 4.6.2.117 2011.05.22 –
F-Secure 9.0.16440.0 2011.05.23 –
Fortinet 4.2.257.0 2011.05.22 –
GData 22 2011.05.23 –
Ikarus T3.1.1.104.0 2011.05.23 –
Jiangmin 13.0.900 2011.05.22 –
K7AntiVirus 9.103.4693 2011.05.20 –
Kaspersky 9.0.0.837 2011.05.23 –
McAfee 5.400.0.1158 2011.05.23 –
McAfee-GW-Edition 2010.1D 2011.05.22 Heuristic.BehavesLike.Win32.Downloader.A
Microsoft 1.6903 2011.05.23 –
NOD32 6143 2011.05.23 –
Norman 6.07.07 2011.05.22 –
nProtect 2011-05-23.01 2011.05.23 –
Panda 10.0.3.5 2011.05.22 Suspicious file
PCTools 7.0.3.5 2011.05.19 –
Prevx 3.0 2011.05.23 High Risk Spyware
Rising 23.58.06.03 2011.05.22 –
Sophos 4.65.0 2011.05.23 –
SUPERAntiSpyware 4.40.0.1006 2011.05.23 –
Symantec 20111.1.0.186 2011.05.23 –
TheHacker 6.7.0.1.203 2011.05.23 –
TrendMicro 9.200.0.1012 2011.05.23 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.05.23 PAK_Generic.001
VBA32 3.12.16.0 2011.05.23 –
VIPRE 9362 2011.05.23 –
ViRobot 2011.5.23.4473 2011.05.23 –
VirusBuster 13.6.367.0 2011.05.22 –
Additional informationShow all
MD5   : b70d9f9e220de4b1de22019b3e241d97
SHA1  : 7c0446980a7efb95de5283d77215ff55ad473099
File size : 132096 bytes
publisher….: n/a
copyright….: n/a
product……: zlfrfcsons
description..: n/a
original name: qdr.exe
internal name: qdr
file version.: 26.14.0030
Muy importante si se detecta y elimina este malware, es volver a restaurar el nivel de seguridad del Internet Explorer.  Para ello entrar en Herramientas -> Opciones de Internet -> Pestaña de seguridad -> y ponerlos en nivel predeterminado o segun deseo del usuario.

Dicha versión del ELISTARA 23.27 que lo controla y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy.
saludos

ms, 23-5-2011