Nuevo ROOTKIT SPY EYE AY en fichero windows.bin.exe que aparenta ser de AVG
A pesar de que el viernes ningun AV detectaba nada, persistimos en la duda dada la doble extension de dicho fichero, y teniendo el usuario el problema de doble acento (tipico de RootKit ZBOT), hemos procedido a su monitorizacion, viendo que se trata de un ROOTKIT de sistema, esto es, casi imposible de detectar cuando está en uso (como el AUTORUN FRAPS de ayer), y viendo que tras actualizar los AV el VT detecta hoy 2 incidencias en dicho fichero, procedemos a llamarle como uno de ellos, SPY EYE AY y lo pasamos a controlar con el ELISTARA 22.72 de hoy, pero siempre que se arranque en MODO SEGURO, pues sino pasará desapercibido (como tambien el de FRAPS de ayer)
File name: windows.bin.exe.vir
Submission date: 2011-03-01 10:23:12 (UTC)
Result: 2/ 43 (4.7%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.03.01.00 2011.03.01 –
AntiVir 7.11.4.15 2011.03.01 –
Antiy-AVL 2.0.3.7 2011.03.01 –
Avast 4.8.1351.0 2011.02.23 –
Avast5 5.0.677.0 2011.02.23 –
AVG 10.0.0.1190 2011.03.01 –
BitDefender 7.2 2011.03.01 –
CAT-QuickHeal 11.00 2011.03.01 –
ClamAV 0.96.4.0 2011.03.01 –
Commtouch 5.2.11.5 2011.03.01 –
Comodo 7837 2011.03.01 –
DrWeb 5.0.2.03300 2011.03.01 –
Emsisoft 5.1.0.2 2011.03.01 –
eSafe 7.0.17.0 2011.02.27 –
eTrust-Vet 36.1.8188 2011.02.28 –
F-Prot 4.6.2.117 2011.02.28 –
F-Secure 9.0.16160.0 2011.03.01 –
Fortinet 4.2.254.0 2011.03.01 –
GData 21 2011.03.01 Win32:Spyeye-AY
Ikarus T3.1.1.97.0 2011.03.01 –
Jiangmin 13.0.900 2011.03.01 –
K7AntiVirus 9.91.3990 2011.03.01 –
Kaspersky 7.0.0.125 2011.03.01 –
McAfee 5.400.0.1158 2011.03.01 –
McAfee-GW-Edition 2010.1C 2011.03.01 –
Microsoft 1.6603 2011.03.01 –
NOD32 5915 2011.02.28 –
Norman 6.07.03 2011.02.28 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.02.28 –
PCTools 7.0.3.5 2011.02.28 –
Prevx 3.0 2011.03.01 –
Rising 23.47.01.05 2011.03.01 –
Sophos 4.61.0 2011.03.01 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.03.01 –
Symantec 20101.3.0.103 2011.03.01 –
TheHacker 6.7.0.1.140 2011.02.28 –
TrendMicro 9.200.0.1012 2011.03.01 –
TrendMicro-HouseCall 9.200.0.1012 2011.03.01 –
VBA32 3.12.14.3 2011.02.28 –
VIPRE 8571 2011.03.01 –
ViRobot 2011.2.28.4333 2011.02.28 –
VirusBuster 13.6.227.0 2011.02.28 –
Additional informationShow all
MD5 : 51d6d44820a58a5829695cceb8fb023e
SHA1 : 806da9e47ce30fef594741b3426d4c464ca612ae
SHA256: 12a6de851fcf1d40df839632eae26d56b3295bf355c2abd8c29d03ea66f168da
File size : 185800 bytes
publisher….: AVG Technologies CZ, s.r.o.
copyright….: Copyright (c) 2010 AVG Technologies CZ, s.r.o.
product……: AVG Internet Security
description..: AVG Configuration Repair Tool
original name: n/a
internal name: fixcfg
Este tiene la picardia de que en propiedades aparenta ser de AVG, para parecer “legitimo”, pero hemos comprobado que queda residente, intenta conectarse a internet, y causa el incordiante “DOBLE ACENTO”
El ELISTARA de hoy que detecta y elimina este nuevo ROOTKIT, pero solo en MODO SEGURO, estará disponible en nuestra web a partir de las 19 h CET de hoy.
saludos
ms, 1-3-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.