Variante de backdoor BOTNET controlado por el ELITRIIP
Aunque ya controlado por la mayoria de AV, nos llega esta muestra que controlamos con el ELITRIIP.
El preanalisis del VirusTotal ofrece este informe:
File name: Svchost.exe
Submission date: 2011-10-10 08:00:32 (UTC)
Result: 40/ 42 (95.2%)
VT Community
malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.10.09.00 2011.10.10 Win-Trojan/Xema.variant
AntiVir 7.11.15.175 2011.10.09 TR/Hijacker.Gen
Antiy-AVL 2.0.3.7 2011.10.10 Backdoor/Win32.Delf.gen
Avast 6.0.1289.0 2011.10.09 Win32:VB-DHV [Wrm]
AVG 10.0.0.1190 2011.10.07 BackDoor.Generic8.ZPY
BitDefender 7.2 2011.10.10 Backdoor.Generic.25481
ByteHero 1.0.0.1 2011.09.23 Trojan.Win32.Heur.Gen
CAT-QuickHeal 11.00 2011.10.07 Backdoor.Delf.avq
ClamAV 0.97.0.0 2011.10.10 Trojan.Delf-624
Commtouch 5.3.2.6 2011.10.10 W32/Backdoor.BEET
Comodo 10407 2011.10.10 Backdoor.Win32.Delf.NGG
DrWeb 5.0.2.03300 2011.10.10 BackDoor.BotNet.103
Emsisoft 5.1.0.11 2011.10.10 Virus.Klone!IK
eSafe 7.0.17.0 2011.10.06 Suspicious File
eTrust-Vet 36.1.8605 2011.10.07 Win32/Cimga.A
F-Prot 4.6.2.117 2011.10.09 W32/Backdoor.BEET
F-Secure 9.0.16440.0 2011.10.10 Backdoor.Generic.25481
Fortinet 4.3.370.0 2011.10.10 W32/Delf.AVQ!tr.bdr
GData 22 2011.10.10 Backdoor.Generic.25481
Ikarus T3.1.1.107.0 2011.10.10 Virus.Klone
Jiangmin 13.0.900 2011.10.09 Backdoor/Delf.sz
K7AntiVirus 9.115.5258 2011.10.08 Backdoor
Kaspersky 9.0.0.837 2011.10.10 Backdoor.Win32.Delf.hwd
McAfee 5.400.0.1158 2011.10.10 BackDoor-EKI
McAfee-GW-Edition 2010.1D 2011.10.09 Heuristic.LooksLike.Win32.Suspicious.F!81
Microsoft 1.7702 2011.10.10 Trojan:Win32/Killav
NOD32 6529 2011.10.10 Win32/Delf.NGG
nProtect 2011-10-10.02 2011.10.10 Backdoor/W32.Small.25028.B
Panda 10.0.3.5 2011.10.09 Trj/Delf.ZX
PCTools 8.0.0.5 2011.10.10 Backdoor.Trojan
Prevx 3.0 2011.10.10 –
Rising 23.78.06.02 2011.10.09 Harm.Delf.ilf
Sophos 4.70.0 2011.10.10 Troj/Cimga-H
SUPERAntiSpyware 4.40.0.1006 2011.10.08 –
Symantec 20111.2.0.82 2011.10.10 Backdoor.Trojan
TheHacker 6.7.0.1.318 2011.10.09 Backdoor/Delf.avq
TrendMicro 9.500.0.1008 2011.10.10 TROJ_MALQ1F.A
TrendMicro-HouseCall 9.500.0.1008 2011.10.10 TROJ_MALQ1F.A
VBA32 3.12.16.4 2011.10.10 SScope.Trojan.Prosti.2
VIPRE 10718 2011.10.10 Trojan.Win32.Generic!BT
ViRobot 2011.10.10.4710 2011.10.10 Backdoor.Win32.Delf.25028
VirusBuster 14.1.3.0 2011.10.09 Backdoor.Delf.XLN
Additional informationShow all
MD5 : 833fd79b62ee8771a978d0652aa32445
SHA1 : 8f0949b851b308f88927cd5543862b04a5787c31
File size : 25028 bytes
Al tratarse de un Backdoor, como los gusanos de IRC (IRCBOT) y similares (RBOT, SDBOT, Bifrose, Conficker, etc) lo controlamos con el ELITRIIP, a diferencia de los troyanos en general que los controlamos con el ELISTARA.
En este caso el autor del malware usa el nombre de SVCHOST.EXE para su engendro, y asi intentar pasar desapercibido a ser facil confundirlo con el lanzador de tareas de windows del mismo nombre, aunque este último está siempre en la carpeta de sistema, a diferencia de la ubicacion del troyano.
saludos
ms, 10-10-2011
_________
Comentario:
Cabe comentar que cambia la contraseña del usuario infectado
Si se dispone de dos usuarios Administradores, usar el no infectado para volver a cambiar la contraseña del primero.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.