Analisis de nueva Variante de CUTWAIL, ejecutable y driver que lo protege
Como es sabido, el CUTWAIL es un Rootkit que se protege a traves de un fichero .SYS de unos 16 digitod hexadecimales que se oculta en la carpeta DRIVERS, y que hasta que no se elimina, no deja eliminar el EXE ejecutable, que es propiamente el virus.
Recibidos los dos ficheros en cuestion, pasamos a controlar esta nueva variante a partir del ELISTARA 26.30 de hoy
Los preanalisis de virustotal ofrecen estos informes:
Para el EXE ejecutable:
SHA256: 80ff5df7fc7f5fa0031611b02c75c71e3a84217eadb4eb9cfd2e62a88697aa92
SHA1: 5dad01902d01d71ae0b86fb0a143f8db3fde1359
MD5: 2dc1760ffefc9de3ba49a8373704aacf
Tamaño: 94.5 KB ( 96768 bytes )
Nombre: zuneteznotno.exe.Muestra EliMover v1.4
Tipo: Win32 EXE
Detecciones: 32 / 43
Fecha de análisis: 2012-10-09 07:38:01 UTC ( hace 1 minuto )
Antivirus Resultado Actualización
Agnitum – 20121008
AhnLab-V3 Spyware/Win32.Zbot 20121008
AntiVir TR/Crypt.ZPACK.Gen 20121008
Antiy-AVL – 20121008
Avast Win32:Kryptik-JXG [Trj] 20121008
AVG Generic29.AQBX 20121008
BitDefender Trojan.Generic.KDV.718991 20121007
ByteHero – 20121009
CAT-QuickHeal TrojanDownloader.Cutwail 20121009
ClamAV – 20121008
Commtouch – 20121008
Comodo TrojWare.Win32.Kryptik.ALDT 20121008
DrWeb Trojan.DownLoader6.62576 20121009
Emsisoft Trojan-Dropper.Win32.Injector!IK 20120919
eSafe – 20121002
ESET-NOD32 a variant of Win32/Kryptik.ALID 20121008
F-Prot – 20121008
F-Secure Trojan.Generic.KDV.718991 20121003
Fortinet W32/Androm.DW!tr 20121008
GData Trojan.Generic.KDV.718991 20121008
Ikarus Trojan-Dropper.Win32.Injector 20121008
Jiangmin Trojan/Generic.aqwup 20121008
K7AntiVirus Riskware 20121008
Kaspersky HEUR:Trojan.Win32.Generic 20121008
Kingsoft Win32.Troj.Undef.(kcloud) 20121008
McAfee Generic BackDoor.abd 20121009
McAfee-GW-Edition Generic BackDoor.abd 20121008
Microsoft TrojanDownloader:Win32/Cutwail.BV 20121008
MicroWorld-eScan Trojan.Generic.KDV.718991 20121008
Norman W32/Troj_Generic.DWFJA 20121008
nProtect Trojan.Generic.KDV.718991 20121008
Panda Generic Malware 20121008
PCTools Trojan.Gen 20121008
Rising – 20121008
SUPERAntiSpyware Trojan.Agent/Gen-Kryptik 20121005
Symantec Trojan.Gen 20121008
TheHacker Trojan/Kryptik.alid 20121009
TotalDefense – 20121008
TrendMicro TROJ_SPNR.14I012 20121008
TrendMicro-HouseCall TROJ_SPNR.14I012 20121008
VBA32 – 20121008
VIPRE Trojan.Win32.Generic!BT 20121008
ViRobot – 20121008
y para el driver .SYS que lo protege:
SHA256: 2bdf6d59fbf784932b6a2db218baa137e37480b126ea8c86b11b277c58c97a9d
SHA1: c49401117b71f08a63fb23c8b259b17d42f9b40d
MD5: 075f1f21fd1dcf6c7f1144cc2e9fe3b6
Tamaño: 69.0 KB ( 70656 bytes )
Nombre: 75b3ffcdd014d639.sys.VIR
Tipo: Win32 EXE
Detecciones: 32 / 44
Fecha de análisis: 2012-10-09 07:51:49 UTC ( hace 0 minutos )
00Más detallesAnálisis
Comentarios
Votos
Información adicional
Antivirus Resultado Actualización
Agnitum – 20121008
AhnLab-V3 Trojan/Win32.Rootkit 20121008
AntiVir TR/Agent.70656.68 20121008
Antiy-AVL – 20121008
Avast Win32:Crypt-NTG [Rtk] 20121008
AVG BackDoor.Generic15.CBNS 20121008
BitDefender Trojan.Generic.KDV.720399 20121007
ByteHero – 20121009
CAT-QuickHeal Trojan.Comitproc.A 20121009
ClamAV – 20121008
Commtouch – 20121008
Comodo UnclassifiedMalware 20121008
DrWeb Trojan.Hosts.5268 20121009
Emsisoft Trojan.WinNT.Necurs!IK 20120919
eSafe – 20121002
ESET-NOD32 a variant of Win32/Rootkit.Kryptik.OP 20121008
F-Prot – 20121008
F-Secure Trojan.Generic.KDV.720399 20121003
Fortinet W32/Necurs.A 20121008
GData Trojan.Generic.KDV.720399 20121009
Ikarus Trojan.WinNT.Necurs 20121008
Jiangmin Trojan/Generic.arpfk 20121008
K7AntiVirus Riskware 20121008
Kaspersky HEUR:Trojan.Win32.Generic 20121008
Kingsoft Win32.Troj.Undef.(kcloud) 20121008
McAfee Generic Rootkit.ak 20121009
McAfee-GW-Edition Generic Rootkit.ak 20121008
Microsoft Trojan:WinNT/Necurs.A 20121009
MicroWorld-eScan Trojan.Generic.KDV.720399 20121008
Norman W32/Suspicious_Gen4.AZVEF 20121008
nProtect Trojan.Generic.KDV.720399 20121008
Panda Trj/Necurs.B 20121008
PCTools Hacktool.Rootkit 20121008
Rising – 20121008
Sophos Mal/Necurs-A 20121008
SUPERAntiSpyware – 20121005
Symantec Hacktool.Rootkit 20121008
TheHacker Trojan/Kryptik.op 20121009
TotalDefense – 20121008
TrendMicro RTKT_NECURS.BE 20121008
TrendMicro-HouseCall RTKT_NECURS.BE 20121008
VBA32 – 20121008
VIPRE Trojan.Win32.Generic!BT 20121008
ViRobot – 20121008
DIcha version del ELISTARA 26.30 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 9-10-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.