Descubierto el origen actual de los SPY ZBOT que causan doble acento : Son descargados por el FAKEWRITE

Una pesadilla son los SPYZBOT que causan doble acento, además de espiar y enviar datos del usuario infectado al hacker, pero en España, gracias a que acentuamos algunas palabras, se delata su presencia debido a la aparición de dos acentos cada vez que se intenta escribir una palabra acentuada, por ejemplo “CAMI“ON”

Pero el hecho de encontrarnos con ordenadores infectados con dicho malware, sin saber por donde habían entrado, era toda una incógnita, hasta que hoy, al analizar y monitorizar FAKEWRITES llegados en mail aparentando ser una reserva de hotel con un anexado Booking_Hotel_Confirmation
que una vez ejecutado generaba un fichero de nombre aleatorio, pero hasta el momento empezando por MS… como es el caso del que ensayamos, MSVUYCBUC.EXE.Muestra EliStartPage v26.00 , cazado por la heuristica del ELISTARA, hemos visto que descargada un fichero .EXE de nombre aletario y que lo instalaba para su ejecucion en cada reinicio.

Lo malo es que el fichero descargado es de nombre aleatorio, y se lanza desde clave con valor aleatorio y desde una carpeta tambien aleatoria, y con código que varía cada vez, asi que de momento solo cabe poder detectarlo analizando el log del SPROCES y pedir las muestras sospechosas que vemos en el informe generado por dicho proceso.

Pero asi lo vamos haciendo y con ello logrando controlar y erradicar esta historia, aunque haya de ser manualmente hasta que ya obtengamos las muestras correspondientes y las podamos analizar para pasar a controlar con nuestras utilidades.

Un ejemplo de lo indicado es el que pasamos a analizar:
SHA256: 7a7c62566d3b8fc704c6d7cfaba12631636160b3476083cfedeb1cc0d867851d
SHA1: e294d1f70d203bcffed5658b1b2d17ca853e3481
MD5: 894c9023d7e9848a4340c3eece08ac3c
Tamaño: 57.0 KB ( 58368 bytes )
Nombre: MSVUYCBUC.EXE.Muestra EliStartPage v26.00
Tipo: Win32 EXE
Etiquetas: peexe mz
Detecciones: 27 / 42
Fecha de análisis: 2012-09-04 15:12:41 UTC ( hace 17 minutos )

015Más detallesAntivirus Resultado Actualización
AhnLab-V3 – 20120904
AntiVir Worm/Gamarue.I.5 20120904
Antiy-AVL – 20120904
Avast Win32:Dropper-gen [Drp] 20120904
AVG BackDoor.Generic15.BZRP 20120904
BitDefender Trojan.Generic.KDV.717711 20120904
ByteHero – 20120830
CAT-QuickHeal – 20120904
ClamAV – 20120904
Commtouch W32/Trojan3.DZT 20120904
Comodo – 20120904
DrWeb BackDoor.Andromeda.22 20120904
Emsisoft Trojan-Spy.Agent!IK 20120904
eSafe – 20120904
ESET-NOD32 Win32/TrojanDownloader.Wauchos.A 20120904
F-Prot W32/Trojan3.DZT 20120903
F-Secure Trojan:W32/Agent.DUFA 20120904
Fortinet W32/Androm.DW!tr 20120830
GData Trojan.Generic.KDV.717711 20120904
Ikarus Trojan-Spy.Agent 20120904
Jiangmin – 20120904
K7AntiVirus – 20120903
Kaspersky Backdoor.Win32.Androm.hl 20120904
McAfee Generic BackDoor.u 20120904
McAfee-GW-Edition Artemis!894C9023D7E9 20120904
Microsoft Worm:Win32/Gamarue.I 20120904
Norman W32/Troj_Generic.DVFDQ 20120904
nProtect Trojan.Generic.KDV.717711 20120904
Panda Trj/Gamania.CB 20120904
PCTools Backdoor.Trojan 20120904
Rising – 20120904
Sophos W32/Gamarue-Z 20120904
SUPERAntiSpyware – 20120904
Symantec Backdoor.Trojan 20120904
TheHacker – 20120903
TotalDefense – 20120904
TrendMicro WORM_GAMARUE.CN 20120904
TrendMicro-HouseCall WORM_GAMARUE.CN 20120904
VBA32 – 20120904
VIPRE Trojan.Win32.Generic.pak!cobra 20120904
ViRobot Backdoor.Win32.A.Androm.58368.A 20120904
VirusBuster – 20120904

Pasado a controlar como FAKE WRITE a partir del ELISTARA 26.07, que estará disponible en nuestra web a partir de las 19 h CEST de hoy

Y el fichero que se ha descargado ha sido en este caso el DAON.EXE, que ocasiona el doble acento, y que actualmente solo lo controlan pocos avntivirus, (6 de 42) , como puede verse en el preanalisis de virustotal al efecto:
SHA256: 7e6bbb4993e818d137224d2621f497f2f6bc94bcbda1fb6cf50e2d1b86fcb63f
SHA1: 8935259a98dccbc751de1cbe962cbac9f8edf83d
MD5: 26728a5ef9376811dead6a7b360c9cd5
Tamaño: 152.5 KB ( 156160 bytes )
Nombre: daon.exe
Tipo: DOS EXE
Detecciones: 6 / 42
Fecha de análisis: 2012-09-04 15:35:40 UTC ( hace 0 minutos )

01Más detalles
Antivirus Resultado Actualización
AhnLab-V3 – 20120904
AntiVir – 20120904
Antiy-AVL – 20120904
Avast Win32:Susn-AR [Trj] 20120904
AVG – 20120904
BitDefender – 20120904
ByteHero – 20120830
CAT-QuickHeal – 20120904
ClamAV – 20120904
Commtouch – 20120904
Comodo – 20120904
DrWeb – 20120904
Emsisoft – 20120904
eSafe – 20120904
ESET-NOD32 a variant of Win32/Kryptik.ALIS 20120904
F-Prot – 20120903
F-Secure – 20120904
Fortinet W32/Krypt.AAOD!tr 20120830
GData Win32:Susn-AR 20120904
Ikarus – 20120904
Jiangmin – 20120904
K7AntiVirus – 20120903
Kaspersky Trojan-Spy.Win32.Zbot.etxk 20120904
McAfee – 20120904
McAfee-GW-Edition – 20120904
Microsoft – 20120904
Norman – 20120904
nProtect – 20120904
Panda Suspicious file 20120904
PCTools – 20120904
Rising – 20120904
Sophos – 20120904
SUPERAntiSpyware – 20120904
Symantec – 20120904
TheHacker – 20120903
TotalDefense – 20120904
TrendMicro – 20120904
TrendMicro-HouseCall – 20120904
VBA32 – 20120904
VIPRE – 20120904
ViRobot – 20120904
VirusBuster – 20120904
Dicha nueva variante de SPYZBOT tambien se controlará a partir del ELISTARA 26.07 , JUNTO CON EL fake Write que lo descarga.

saludos

ms, 4-9-2012