Informacion sobre un dropper del SIMDA

Crea ficheros NLS que, mientras estén en uso, esconden el ACPI.SYS infectado (que es el backdoor SIMDA propiamente dicho) y muestran el del sistema.

La instalacion del mismo crea un programa servidor que está a la espera de las órdenes remotas >(del hacker) propias de un backdoor, por ello se le denomina BACKDOOR SIMDA

El primer paso es la descarga y ejecucion del DROPPER, que instala todo el backdoor:

El preanalisis de virustotal sobre el fichero DROPPER, ofrece este informe:

File name: 1.exe
Submission date: 2012-01-10 14:46:28 (UTC)
Current status: finished
Result: 6 /42 (14.3%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2012.01.08.00 2012.01.08 –
AntiVir 7.11.20.195 2012.01.08 –
Antiy-AVL 2.0.3.7 2012.01.08 –
Avast 6.0.1289.0 2012.01.08 –
AVG 10.0.0.1190 2012.01.08 –
BitDefender 7.2 2012.01.08 –
ByteHero 1.0.0.1 2011.12.31 –
CAT-QuickHeal 12.00 2012.01.08 –
ClamAV 0.97.3.0 2012.01.07 –
Commtouch 5.3.2.6 2012.01.07 –
Comodo 11216 2012.01.08 –
DrWeb 5.0.2.03300 2012.01.08 –
Emsisoft 5.1.0.11 2012.01.08 Backdoor.Win32.Proxyier!IK
eSafe 7.0.17.0 2012.01.08 –
eTrust-Vet 37.0.9668 2012.01.06 –
F-Prot 4.6.5.141 2012.01.07 –
F-Secure 9.0.16440.0 2012.01.08 –
Fortinet 4.3.388.0 2012.01.08 –
GData 22 2012.01.08 –
Ikarus T3.1.1.109.0 2012.01.08 Backdoor.Win32.Proxyier
Jiangmin 13.0.900 2012.01.08 –
K7AntiVirus 9.123.5881 2012.01.06 –
Kaspersky 9.0.0.837 2012.01.08 –
McAfee 5.400.0.1158 2012.01.08 Artemis!344B19659C00
McAfee-GW-Edition 2010.1E 2012.01.08 Artemis!344B19659C00
Microsoft 1.7903 2012.01.08 –
NOD32 6777 2012.01.08 –
nProtect 2012-01-08.01 2012.01.08 –
Panda 10.0.3.5 2012.01.08 Suspicious file
PCTools 8.0.0.5 2012.01.08 –
Prevx 3.0 2012.01.10 –
Rising 23.91.04.02 2012.01.06 –
Sophos 4.73.0 2012.01.08 –
SUPERAntiSpyware 4.40.0.1006 2012.01.07 –
Symantec 20111.2.0.82 2012.01.08 –
TheHacker 6.7.0.1.373 2012.01.08 –
TrendMicro 9.500.0.1008 2012.01.08 –
TrendMicro-HouseCall 9.500.0.1008 2012.01.08 –
VBA32 3.12.16.4 2012.01.06 –
VIPRE 11370 2012.01.08 Backdoor.Win32.Hupigon (v)
ViRobot 2012.1.7.4869 2012.01.08 –
VirusBuster 14.1.157.0 2012.01.08 –

Additional informationShow all
MD5   : 344b19659c005618b33c0ca83efcc71d
SHA1  : b8a4864b380709a5f160cfb8c88e156dcd8d5cb0

File size : 501760 bytes

__________
Y el NLS lo crea siempre con el mismo nombre para una máquina concreta, y diferente para cada otra:
File name: c_726519(1).nls
Submission date: 2012-01-10 15:19:07 (UTC)

Result: 3/ 43 (7.0%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2012.01.10.03 2012.01.10 –
AntiVir 7.11.20.222 2012.01.10 –
Antiy-AVL 2.0.3.7 2012.01.10 –
Avast 6.0.1289.0 2012.01.10 Win32:RLoader-B
AVG 10.0.0.1190 2012.01.10 –
BitDefender 7.2 2012.01.10 –
ByteHero 1.0.0.1 2011.12.31 –
CAT-QuickHeal 12.00 2012.01.10 –
ClamAV 0.97.3.0 2012.01.10 –
Commtouch 5.3.2.6 2012.01.10 –
Comodo 11233 2012.01.10 –
DrWeb 5.0.2.03300 2012.01.10 –
Emsisoft 5.1.0.11 2012.01.10 –
eSafe 7.0.17.0 2012.01.09 –
eTrust-Vet 37.0.9673 2012.01.10 –
F-Prot 4.6.5.141 2012.01.09 –
F-Secure 9.0.16440.0 2012.01.10 Gen:Trojan.Heur.LP.bi5@ayhLBKc
Fortinet 4.3.388.0 2012.01.10 –
GData 22 2012.01.10 –
Ikarus T3.1.1.109.0 2012.01.10 –
Jiangmin 13.0.900 2012.01.09 –
K7AntiVirus 9.124.5897 2012.01.09 –
Kaspersky 9.0.0.837 2012.01.10 –
McAfee 5.400.0.1158 2012.01.10 –
McAfee-GW-Edition 2010.1E 2012.01.10 Heuristic.BehavesLike.Exploit.CodeExec.FFCN
Microsoft 1.7903 2012.01.10 –
NOD32 6782 2012.01.10 –
Norman 6.07.13 2012.01.10 –
nProtect 2012-01-10.01 2012.01.10 –
Panda 10.0.3.5 2012.01.09 –
PCTools 8.0.0.5 2012.01.10 –
Prevx 3.0 2012.01.10 –
Rising 23.92.01.02 2012.01.10 –
Sophos 4.73.0 2012.01.10 –
SUPERAntiSpyware 4.40.0.1006 2012.01.10 –
Symantec 20111.2.0.82 2012.01.10 –
TheHacker 6.7.0.1.375 2012.01.10 –
TrendMicro 9.500.0.1008 2012.01.10 –
TrendMicro-HouseCall 9.500.0.1008 2012.01.10 –
VBA32 3.12.16.4 2012.01.10 –
VIPRE 11378 2012.01.10 –
ViRobot 2012.1.10.4873 2012.01.10 –
VirusBuster 14.1.158.1 2012.01.09 –

Additional informationShow all
MD5   : 8b2405c0542f2c47a45b221a030ff0ef
SHA1  : 045baaf5a0bd09f8e1868854c0e30948c2450d5e

File size : 176644 bytes
_______
además crea otro fichero .SYS que actúa de Rootkit:

File name: 5728(1).sys
Submission date: 2012-01-10 15:52:17 (UTC)

Result: 1/ 43 (2.3%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2012.01.10.03 2012.01.10 Backdoor/Win32.Rootkit
AntiVir 7.11.20.222 2012.01.10 –
Antiy-AVL 2.0.3.7 2012.01.10 –
Avast 6.0.1289.0 2012.01.10 –
AVG 10.0.0.1190 2012.01.10 –
BitDefender 7.2 2012.01.10 –
ByteHero 1.0.0.1 2011.12.31 –
CAT-QuickHeal 12.00 2012.01.10 –
ClamAV 0.97.3.0 2012.01.10 –
Commtouch 5.3.2.6 2012.01.10 –
Comodo 11233 2012.01.10 –
DrWeb 5.0.2.03300 2012.01.10 –
Emsisoft 5.1.0.11 2012.01.10 –
eSafe 7.0.17.0 2012.01.09 –
eTrust-Vet 37.0.9673 2012.01.10 –
F-Prot 4.6.5.141 2012.01.09 –
F-Secure 9.0.16440.0 2012.01.10 –
Fortinet 4.3.388.0 2012.01.10 –
GData 22 2012.01.10 –
Ikarus T3.1.1.109.0 2012.01.10 –
Jiangmin 13.0.900 2012.01.09 –
K7AntiVirus 9.124.5897 2012.01.09 –
Kaspersky 9.0.0.837 2012.01.10 –
McAfee 5.400.0.1158 2012.01.10 –
McAfee-GW-Edition 2010.1E 2012.01.10 –
Microsoft 1.7903 2012.01.10 –
NOD32 6782 2012.01.10 –
Norman 6.07.13 2012.01.10 –
nProtect 2012-01-10.01 2012.01.10 –
Panda 10.0.3.5 2012.01.09 –
PCTools 8.0.0.5 2012.01.10 –
Prevx 3.0 2012.01.10 –
Rising 23.92.01.02 2012.01.10 –
Sophos 4.73.0 2012.01.10 –
SUPERAntiSpyware 4.40.0.1006 2012.01.10 –
Symantec 20111.2.0.82 2012.01.10 –
TheHacker 6.7.0.1.375 2012.01.10 –
TrendMicro 9.500.0.1008 2012.01.10 –
TrendMicro-HouseCall 9.500.0.1008 2012.01.10 –
VBA32 3.12.16.4 2012.01.10 –
VIPRE 11378 2012.01.10 –
ViRobot 2012.1.10.4873 2012.01.10 –
VirusBuster 14.1.159.0 2012.01.10 –

Additional informationShow all
MD5   : 435e17c7c9a11779e1b7a3b7124cdf2d
SHA1  : 96b94b459973c63bf46c5d5f91ec6dd84472fd45

File size : 140544 bytes

publisher….: PrhjtfjaEsu emtcwiaolnmKx
copyright….: elf2nB
product……: afpglm yqyqgtjc
description..: msvjhbn yrClw tuZjc
original name: SSYUMNFAWGZ.EXE
internal name: ssyumnfawgz
file version.: 2.29

________
y finalmente el objetivo protegido y dichoso ACPI.SYS malware que es el BACKDOOR SIMDA propieamente dicho:
File name: acpi.sys
Submission date: 2011-12-30 12:12:11 (UTC)
Current status: finished
Result: 23 /42 (54.8%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.12.30.00 2011.12.30 –
AntiVir 7.11.20.92 2011.12.30 TR/Rootkit.Gen2
Antiy-AVL 2.0.3.7 2011.12.30 –
Avast 6.0.1289.0 2011.12.30 Win32:RLoader-B
AVG 10.0.0.1190 2011.12.30 Agent3.WJV
BitDefender 7.2 2011.12.30 Trojan.Generic.6377555
CAT-QuickHeal 12.00 2011.12.30 –
ClamAV 0.97.3.0 2011.12.29 –
Commtouch 5.3.2.6 2011.12.30 –
Comodo 11137 2011.12.30 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.12.30 Trojan.Rodricter.1
Emsisoft 5.1.0.11 2011.12.30 Virus.Win32.RLoader!IK
eSafe 7.0.17.0 2011.12.29 Win32.TRRootkit
eTrust-Vet 37.0.9654 2011.12.30 –
F-Prot 4.6.5.141 2011.12.30 –
F-Secure 9.0.16440.0 2011.12.30 Trojan.Generic.6377555
Fortinet 4.3.388.0 2011.12.30 W32/RLoader.A
GData 22 2011.12.30 Trojan.Generic.6377555
Ikarus T3.1.1.109.0 2011.12.30 Virus.Win32.RLoader
Jiangmin 13.0.900 2011.12.29 Win32/RootkitReLoader.a
K7AntiVirus 9.120.5806 2011.12.29 Trojan
Kaspersky 9.0.0.837 2011.12.30 Virus.Win32.RLoader.a
McAfee 5.400.0.1158 2011.12.30 –
McAfee-GW-Edition 2010.1E 2011.12.30 –
Microsoft 1.7903 2011.12.30 Trojan:WinNT/Simda.gen!A
NOD32 6754 2011.12.30 Win32/Agent.SUC.Gen
Norman 6.07.13 2011.12.30 W32/Suspicious_Gen2.SHSOU
nProtect 2011-12-30.01 2011.12.30 Gen:Variant.Buzy.3764
Panda 10.0.3.5 2011.12.29 Trj/CI.A
PCTools 8.0.0.5 2011.12.30 Trojan.Gen
Prevx 3.0 2011.12.30 –
Rising 23.90.04.02 2011.12.30 –
Sophos 4.72.0 2011.12.30 –
SUPERAntiSpyware 4.40.0.1006 2011.12.29 –
Symantec 20111.2.0.82 2011.12.30 Trojan.Gen
TheHacker 6.7.0.1.367 2011.12.29 –
TrendMicro 9.500.0.1008 2011.12.30 –
TrendMicro-HouseCall 9.500.0.1008 2011.12.30 –
VBA32 3.12.16.4 2011.12.29 –
VIPRE 11324 2011.12.30 Trojan.Win32.Generic!BT
ViRobot 2011.12.30.4855 2011.12.30 –
VirusBuster 14.1.140.0 2011.12.29 –

Additional informationShow all
MD5   : c6811f0f6a149516ba6fb048566bfc91
SHA1  : ce55c4cb733f088958ce74d23ea8b671f7a99389

File size : 189056 bytes

publisher….: Microsoft Corporation
copyright….: Copyright (C) Microsoft Corporation. Reservados todos los derechos.
product……: Sistema operativo Microsoft_ Windows_
description..: Controlador ACPI para NT
original name: ACPI.sys
internal name: ACPI.sys
file version.: 5.1.2600.5512 (xpsp.080413-2111)
No hacer caso de las propiedades, pues la última parte del fichero, es identica a la del fichero original ACPI.SYS del sistema, lo cual puede despistar, y mas si está activo el .NLS, pues entonces el que muestra es el de Microsoft, aunque utiliza el malware !
Con todo ello, logrado detectar y eliminar el .NLS, ya podemos detectar y eliminar el ACPI.SYS y complementarios, con lo que conseguimos erradicar este BACKDOOR SIMDA que dada la protección y sofisticación usada de protección y ocultamiento, es de temer lo que pretendan hacer con él …

EL dropper lo controlan actualmente solo 6 AV de 43, pero el NLS que enmascara el ACPI, solo lo detectan 3, y eso es grave, pues de poco sirve que 23 AV detecten el backdoor si este es ocultado de forma que despiste a los que lo conocen …
Desde el ELISTARA 24.62 que estará disponible en nuesta web a partir de las 19 h CEST, se detecta y elimina todo este grupo de droppers, rootkits, troyanos y backdoors en cuestion.

saludos

ms, 10-1-2012