Analisis de nueva Variante de CUTWAIL, ejecutable y driver que lo protege

Publicado el 9 octubre 2012 ¬ 9:58 amh.mscComentarios desactivados en Analisis de nueva Variante de CUTWAIL, ejecutable y driver que lo protege

Como es sabido, el CUTWAIL es un Rootkit que se protege a traves de un fichero .SYS de unos 16 digitod hexadecimales que se oculta en la carpeta DRIVERS, y que hasta que no se elimina, no deja eliminar el EXE ejecutable, que es propiamente el virus.

Recibidos los dos ficheros en cuestion, pasamos a controlar esta nueva variante a partir del ELISTARA 26.30 de hoy

Los preanalisis de virustotal ofrecen estos informes:

Para el EXE ejecutable:
SHA256: 80ff5df7fc7f5fa0031611b02c75c71e3a84217eadb4eb9cfd2e62a88697aa92
SHA1: 5dad01902d01d71ae0b86fb0a143f8db3fde1359
MD5: 2dc1760ffefc9de3ba49a8373704aacf
Tamaño: 94.5 KB ( 96768 bytes )
Nombre: zuneteznotno.exe.Muestra EliMover v1.4
Tipo: Win32 EXE
Detecciones: 32 / 43
Fecha de análisis: 2012-10-09 07:38:01 UTC ( hace 1 minuto )
Antivirus Resultado Actualización
Agnitum – 20121008
AhnLab-V3 Spyware/Win32.Zbot 20121008
AntiVir TR/Crypt.ZPACK.Gen 20121008
Antiy-AVL – 20121008
Avast Win32:Kryptik-JXG [Trj] 20121008
AVG Generic29.AQBX 20121008
BitDefender Trojan.Generic.KDV.718991 20121007
ByteHero – 20121009
CAT-QuickHeal TrojanDownloader.Cutwail 20121009
ClamAV – 20121008
Commtouch – 20121008
Comodo TrojWare.Win32.Kryptik.ALDT 20121008
DrWeb Trojan.DownLoader6.62576 20121009
Emsisoft Trojan-Dropper.Win32.Injector!IK 20120919
eSafe – 20121002
ESET-NOD32 a variant of Win32/Kryptik.ALID 20121008
F-Prot – 20121008
F-Secure Trojan.Generic.KDV.718991 20121003
Fortinet W32/Androm.DW!tr 20121008
GData Trojan.Generic.KDV.718991 20121008
Ikarus Trojan-Dropper.Win32.Injector 20121008
Jiangmin Trojan/Generic.aqwup 20121008
K7AntiVirus Riskware 20121008
Kaspersky HEUR:Trojan.Win32.Generic 20121008
Kingsoft Win32.Troj.Undef.(kcloud) 20121008
McAfee Generic BackDoor.abd 20121009
McAfee-GW-Edition Generic BackDoor.abd 20121008
Microsoft TrojanDownloader:Win32/Cutwail.BV 20121008
MicroWorld-eScan Trojan.Generic.KDV.718991 20121008
Norman W32/Troj_Generic.DWFJA 20121008
nProtect Trojan.Generic.KDV.718991 20121008
Panda Generic Malware 20121008
PCTools Trojan.Gen 20121008
Rising – 20121008
SUPERAntiSpyware Trojan.Agent/Gen-Kryptik 20121005
Symantec Trojan.Gen 20121008
TheHacker Trojan/Kryptik.alid 20121009
TotalDefense – 20121008
TrendMicro TROJ_SPNR.14I012 20121008
TrendMicro-HouseCall TROJ_SPNR.14I012 20121008
VBA32 – 20121008
VIPRE Trojan.Win32.Generic!BT 20121008
ViRobot – 20121008

 

y para el driver .SYS que lo protege:
SHA256: 2bdf6d59fbf784932b6a2db218baa137e37480b126ea8c86b11b277c58c97a9d
SHA1: c49401117b71f08a63fb23c8b259b17d42f9b40d
MD5: 075f1f21fd1dcf6c7f1144cc2e9fe3b6
Tamaño: 69.0 KB ( 70656 bytes )
Nombre: 75b3ffcdd014d639.sys.VIR
Tipo: Win32 EXE
Detecciones: 32 / 44
Fecha de análisis: 2012-10-09 07:51:49 UTC ( hace 0 minutos )

00Más detallesAnálisis
Comentarios
Votos
Información adicional

Antivirus Resultado Actualización
Agnitum – 20121008
AhnLab-V3 Trojan/Win32.Rootkit 20121008
AntiVir TR/Agent.70656.68 20121008
Antiy-AVL – 20121008
Avast Win32:Crypt-NTG [Rtk] 20121008
AVG BackDoor.Generic15.CBNS 20121008
BitDefender Trojan.Generic.KDV.720399 20121007
ByteHero – 20121009
CAT-QuickHeal Trojan.Comitproc.A 20121009
ClamAV – 20121008
Commtouch – 20121008
Comodo UnclassifiedMalware 20121008
DrWeb Trojan.Hosts.5268 20121009
Emsisoft Trojan.WinNT.Necurs!IK 20120919
eSafe – 20121002
ESET-NOD32 a variant of Win32/Rootkit.Kryptik.OP 20121008
F-Prot – 20121008
F-Secure Trojan.Generic.KDV.720399 20121003
Fortinet W32/Necurs.A 20121008
GData Trojan.Generic.KDV.720399 20121009
Ikarus Trojan.WinNT.Necurs 20121008
Jiangmin Trojan/Generic.arpfk 20121008
K7AntiVirus Riskware 20121008
Kaspersky HEUR:Trojan.Win32.Generic 20121008
Kingsoft Win32.Troj.Undef.(kcloud) 20121008
McAfee Generic Rootkit.ak 20121009
McAfee-GW-Edition Generic Rootkit.ak 20121008
Microsoft Trojan:WinNT/Necurs.A 20121009
MicroWorld-eScan Trojan.Generic.KDV.720399 20121008
Norman W32/Suspicious_Gen4.AZVEF 20121008
nProtect Trojan.Generic.KDV.720399 20121008
Panda Trj/Necurs.B 20121008
PCTools Hacktool.Rootkit 20121008
Rising – 20121008
Sophos Mal/Necurs-A 20121008
SUPERAntiSpyware – 20121005
Symantec Hacktool.Rootkit 20121008
TheHacker Trojan/Kryptik.op 20121009
TotalDefense – 20121008
TrendMicro RTKT_NECURS.BE 20121008
TrendMicro-HouseCall RTKT_NECURS.BE 20121008
VBA32 – 20121008
VIPRE Trojan.Win32.Generic!BT 20121008
ViRobot – 20121008
DIcha version del ELISTARA 26.30 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 9-10-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies