Volvemos a las andadas con el worm VBNA y sus descendientes (BOAXE, ALUREON, KATUSHA, FAKE ALERT RENOS)

Publicado el 18 marzo 2011 ¬ 11:51 amh.mscComentarios desactivados en Volvemos a las andadas con el worm VBNA y sus descendientes (BOAXE, ALUREON, KATUSHA, FAKE ALERT RENOS)

Afortunadamente con el ELISTARA de ayer (22.83) nos ha advertido de que había el MBR con tecnicas Stealth en uno de los ordenadores de monitorizacion, y a partir de aqui hemos buscado la causa y sus consecuencias, encontrando otra variante de WORM VBNA, y sus derivados, aunque para ver el ALUREON haya tenido que ser arrancando con otro medio, por sus tecnicas Stealth (de ocultamiento del MBR real infectado y en su lugar presentar el original)
Pues empezando por la nueva variante de VBNA, que solo detectan 4 antivirus, entre ellos McAfee 🙂 y el ELIVBNA > 2.8

File name: jmrib.exe
Submission date: 2011-03-18 09:18:02 (UTC)
Current status: finished
Result: 4 /43 (9.3%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result

AntiVir 7.11.4.249 2011.03.18 TR/Dropper.Gen
McAfee 5.400.0.1158 2011.03.18 VBObfus.g
NOD32 5964 2011.03.17 a variant of Win32/AutoRun.VB.ACE
Sophos 4.63.0 2011.03.18 Mal/SillyFDC-M

Additional informationShow all
MD5   : 4fb7667276f177acbf8e830026ad38ba
SHA1  : 4e90ee7a203d09761ed71d8657d51e5fb981e831

File size : 258048 bytes

publisher….: n/a
copyright….: n/a
product……: WBnzhQNYURVbUHuGiOwOjsuGJbjFR
description..: n/a
original name: HsqkYrDDCsE.exe
internal name: HsqkYrDDCsE
file version.: 1.72

Que a partir del ELIVBNA 2.8 de hoy, ya se controla y elimina.
Pero a continuacion el ordenador está infectado con otros malwares, como el BOAXE, el ALUREON en MBR, el KATUSHA y el FAKE ALERT RENOS, segun se ve en los siguientes preanlisis.
El BOAXE es propiamente un Downloader, que controlamos a partir de ELISTARA 22.84:

File name: setup.exe
Submission date: 2011-03-18 09:26:32 (UTC)
Current status: finished
Result: 19 /42 (45.2%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.03.18.01 2011.03.18 Trojan/Win32.Agent
AntiVir 7.11.4.249 2011.03.18 –
Antiy-AVL 2.0.3.7 2011.03.18 –
Avast 4.8.1351.0 2011.03.17 Win32:Downloader-FFO
Avast5 5.0.677.0 2011.03.17 Win32:Downloader-FFO
AVG 10.0.0.1190 2011.03.17 –
BitDefender 7.2 2011.03.18 Gen:Variant.Kazy.7282
CAT-QuickHeal 11.00 2011.03.18 –
ClamAV 0.96.4.0 2011.03.18 –
Commtouch 5.2.11.5 2011.03.17 –
Comodo 8023 2011.03.18 –
DrWeb 5.0.2.03300 2011.03.18 –
Emsisoft 5.1.0.2 2011.03.18 Trojan-Downloader.Win32.Boaxxe!IK
eSafe 7.0.17.0 2011.03.17 –
eTrust-Vet 36.1.8222 2011.03.18 –
F-Prot 4.6.2.117 2011.03.17 –
F-Secure 9.0.16440.0 2011.03.18 Gen:Variant.Kazy.7282
Fortinet 4.2.254.0 2011.03.18 –
GData 21 2011.03.18 Gen:Variant.Kazy.7282
Ikarus T3.1.1.97.0 2011.03.18 Trojan-Downloader.Win32.Boaxxe
Jiangmin 13.0.900 2011.03.18 –
K7AntiVirus 9.93.4136 2011.03.17 –
Kaspersky 7.0.0.125 2011.03.18 –
McAfee 5.400.0.1158 2011.03.18 Artemis!79686BB66D43
McAfee-GW-Edition 2010.1C 2011.03.18 Artemis!79686BB66D43
Microsoft 1.6603 2011.03.18 TrojanDownloader:Win32/Boaxxe.gen!A
NOD32 5964 2011.03.17 –
Norman 6.07.03 2011.03.17 –
nProtect 2011-02-10.01 2011.02.15 Gen:Variant.Kazy.7282
Panda 10.0.3.5 2011.03.17 Generic Trojan
PCTools 7.0.3.5 2011.03.17 Trojan.Gen
Prevx 3.0 2011.03.18 High Risk Cloaked Malware
Rising 23.49.04.03 2011.03.18 –
Sophos 4.63.0 2011.03.18 –
SUPERAntiSpyware 4.40.0.1006 2011.03.18 –
TheHacker 6.7.0.1.151 2011.03.18 Trojan/Downloader.Boaxxe.aa
TrendMicro 9.200.0.1012 2011.03.18 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.03.18 PAK_Generic.001
VBA32 3.12.14.3 2011.03.18 suspected of Trojan.Downloader.gen
VIPRE 8739 2011.03.18 –
ViRobot 2011.3.18.4364 2011.03.18 –
VirusBuster 13.6.254.0 2011.03.17 –
Additional informationShow all
MD5   : 79686bb66d430e220db45b43da904f51
SHA1  : 25e0b90eb56da47c91015c4ef17ab9f6717083b6

File size : 7680 bytes

y el ALUREON , que solo se caza si no se ha arrancado con el disco duro, si bien el actual ELISTARA ya avisa si se tiene en el MBR un código de tecnicas stealth. Para instalarlo en el MBR se descarga dos ficheros que convierte uno en EXE y lo ejecuta, y el otro en DLL:

File name: 8.tmp lo convierte en EXE
Submission date: 2011-03-18 09:49:01 (UTC)
Result: 7/ 43 (16.3%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result

Avast 4.8.1351.0 2011.03.17 Win32:Alureon-WB
Avast5 5.0.677.0 2011.03.17 Win32:Alureon-WB
DrWeb 5.0.2.03300 2011.03.18 BackDoor.Tdss.based.7
GData 21 2011.03.18 Win32:Alureon-WB
McAfee-GW-Edition 2010.1C 2011.03.18 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Trojan.B
NOD32 5964 2011.03.17 a variant of Win32/Olmarik.AQG
VIPRE 8739 2011.03.18 Packed.Win32.Tdss.Gen (v)

Additional informationShow all
MD5   : 58f0ae971f6b5a08b1d825c62782e389
SHA1  : e6618374c3924762e5d39155c5d96fa315166b6d

File size : 129536 bytes

publisher….: Audi
copyright….: Audi
product……: Audi
description..: Audi
original name: Audi
internal name: Audi
file version.: 4,32,350,19779
comments…..: Audi

y el otro fichero del ALUREON, que copia como DLL:

File name: A.tmp lo convierte en DLL
Submission date: 2011-03-18 09:49:55 (UTC)
Current status: finished
Result: 6 /43 (14.0%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result

Avast 4.8.1351.0 2011.03.17 Win32:Alureon-WB
Avast5 5.0.677.0 2011.03.17 Win32:Alureon-WB
DrWeb 5.0.2.03300 2011.03.18 BackDoor.Tdss.based.7
GData 21 2011.03.18 Win32:Alureon-WB
NOD32 5964 2011.03.17 a variant of Win32/Olmarik.AQG
Panda 10.0.3.5 2011.03.17 Suspicious file

Additional informationShow all
MD5   : eef1f142cf210215737015a6447238b8
SHA1  : 97086d04c90c0a849d3239cfc6a28f4925971ec8

File size : 129536 bytes

publisher….: Audi
copyright….: Audi
product……: Audi
description..: Audi
original name: Audi
internal name: Audi
file version.: 4,32,350,19779
comments…..: Audi

y a continuacion los 4 Kastushas, con intenciones maliciosas independientes:

El primero lo detectan solo 11 de los actuales AV, y en propiedades indica ser de AVG !

File name: Knf.exe
Submission date: 2011-03-18 09:58:11 (UTC)
Current status: finished
Result: 11 /43 (25.6%)
Antivirus Version Last Update Result

AVG 10.0.0.1190 2011.03.18 Downloader.Generic11.CNM
eTrust-Vet 36.1.8222 2011.03.18 Win32/Renos.D!generic
Fortinet 4.2.254.0 2011.03.18 W32/PackZbot.D!tr
McAfee 5.400.0.1158 2011.03.18 Downloader-CEW.af
McAfee-GW-Edition 2010.1C 2011.03.18 Heuristic.BehavesLike.Win32.Downloader.A
NOD32 5964 2011.03.17 a variant of Win32/Kryptik.LSU
Norman 6.07.03 2011.03.17 W32/Kryptik.HR
Prevx 3.0 2011.03.18 Medium Risk Malware
Rising 23.49.04.03 2011.03.18 Trojan.Win32.Generic.1280C613
Sophos 4.63.0 2011.03.18 Mal/FakeAV-IZ
VIPRE 8740 2011.03.18 VirTool.Win32.Obfuscator.hg!b1 (v)

Additional informationShow all
MD5   : 3e8a7dc4a301dfef47dce2956e933e18
SHA1  : 1105d2567a03422280dab26b9fd9d86343f68b00

File size : 212992 bytes

publisher….: AVG Technologies CZ, s.r.o.
copyright….: Copyright (c) 2010 AVG Technologies CZ, s.r.o.N
product……: AVG Internet Security Y
description..: Y AVG Alert Manager
original name: bav-gamB
internal name: bav-gamB
file version.: 9.0.0.832

________

el segundo de los Katushas, que solo lo detectan 4 de los actuales AV:

File name: Kng.exe
Submission date: 2011-03-18 09:59:09 (UTC)
Current status: queued queued analysing finished
Result: 4/ 43 (9.3%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.03.18.01 2011.03.18 Trojan/Win32.Renos
eTrust-Vet 36.1.8222 2011.03.18 Win32/FakeAlert.BMB
Panda 10.0.3.5 2011.03.17 Suspicious file
VBA32 3.12.14.3 2011.03.18 SScope.Trojan.FakeAV.0997

Additional informationShow all
MD5   : c95b1528a600a9a1e79fb072a5905781
SHA1  : 3249a4fd55582c1fe883c8982bb67af7a76b6ab1
File size : 137216 bytes

________

y el tercero de los Katushas, tambien detectado por solo 4 AV actualmente:

File name: Knh.exe
Submission date: 2011-03-18 10:05:52 (UTC)

Result: 4/ 43 (9.3%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.03.18.01 2011.03.18 Trojan/Win32.Renos
eTrust-Vet 36.1.8222 2011.03.18 Win32/FakeAlert.BMB
Panda 10.0.3.5 2011.03.17 Suspicious file
VBA32 3.12.14.3 2011.03.18 SScope.Trojan.FakeAV.0997

Additional informationShow all
MD5   : b755fc738db150987a4363944350c3da
SHA1  : fdff3378ee1d46078b3f1e816759b8adceb59710

File size : 149504 bytes

_________

y el ultimo troyano que descargan, el FAKE ALERT RENOS .JZ, que solo detectan actualmente 8 AV, y como el primero, en propiedades indica ser de AVG.

File name: sshnas21.dll
Submission date: 2011-03-18 10:09:48 (UTC)
Current status: finished
Result: 8 /43 (18.6%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result

Comodo 8023 2011.03.18 Packed.Win32.TDSS.~AA
eTrust-Vet 36.1.8222 2011.03.18 Win32/Renos.D!generic
Fortinet 4.2.254.0 2011.03.18 W32/PackZbot.D!tr
McAfee 5.400.0.1158 2011.03.18 Downloader-CEW.af
McNorman 6.07.03 2011.03.17 W32/Kryptik.JZ
Prevx 3.0 2011.03.18 Medium Risk Malware
Sophos 4.63.0 2011.03.18 Sus/UnkPack-C
VIPRE 8740 2011.03.18 VirTool.Win32.Obfuscator.hg!b1 (v)

Additional informationShow all
MD5   : ad8150af52f687a67234ec2edefee1d9
SHA1  : d35088bfb58771cb2425f2820ec9ac9a134321de

File size : 177152 bytes

publisher….: AVG Technologies CZ, s.r.o.
copyright….: Copyright (c) 2010 AVG Technologies CZ, s.r.o.s
product……: AVG Internet Security ky
description..: W AVG Alert Managerb0
original name: 2av-gamx1.dll
internal name: 2av-gamx1.dll
file version.: 9.0.0.832

En cualquier caso, aparte del ELIVBNA 2.8 para el primer WOEM VBNA, el ELISTARA de hoy 22.84, controla y elimina todas estas variantes, incluso avisa si el MBR tiene tecnicas Stealth (como sucede si tiene el ALUREON) para obrar en consecuencia.

Las versiones de las utilidades indicadas estarán disponibles en nuestra web a partir de las 15 h CET de hoy.

Toda una plaga que estamos sufriendo estos días, y lo peor es que muchos AV ni se enteran de muchos de ellos, y menos aun del ALUREON con tecnicas Stealth en MBR !

saludos

ms, 18-3-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies