Nueva variante de ROOTKIT ALUREON en MBR (Tras haber tenido un FAKE ALERT…)

Tras haber detectado un FAKE ALERT SYSTEM CHECK, y tras haberlo eliminado, el ELISTARA y el SPROCES indicaban ERROR DE ESCRITURA EN MBR, lo cual es típico de anomalías víricas en el mismo.

Un análisis exhaustivo de dicho sector, para lo que ha sido necesario arrancar con otro medio, pues de lo contrario el ROOTKIT en cuestión nos impedía ver la infección contenida en dicho sector, nos ha permitido ver que dicho sector había sido modificado y que ningun antivirus lo detectaba, si se había arrancado con él.

A partir del ELISTARA 24.76 de hoy pasamos a controlar por cadenas este MBR, si bien recuerdese que si se ha arrancado con dicho disco duro no se va a detectar, por las caracteristicas de RootKit indicadas, pero si se coloca como esclavo, arrancando con el MASTER limpio, se detectará y corregirá el código de edeicho MBR infectado por el standar de MICROSOFT.

Otra solución es la que sugerimos cuando aparece el mensaje de ERROR DE ESCRITURA EN MBR tanto en el SPROCES como en el ELISTARA, y es arrancar con el CD de instalación de windows, pulsar R para entrar en Cónsola de Recuperación, y desde allí lanzar un FIXMBR <enter> para sobreescribir dicho código, lo cual podrá hacer gracias a haber arrancado desde dicho medio (CD) ya que de lo contrario, arrancando con el disco duro infectado, no sería posible.

El preanalisis del virustotal sobre el fichero-copia del MBR, ofrece el siguiente informe:

SHA256: a621944493dd1eacb1942d3a1d8b95a14528d4cd12eb9ab681bee9060e453f6a
SHA1: 4b9a52a23dd26213e1d5ddfb1d431a5842981cde
MD5: 0b85baa61290b568943e153671e8c2b3
Tamaño: 512 bytes ( 512 bytes )
Nombre: MBR.HD1
Tipo: unknown
Detecciones: 13 / 43
Fecha de análisis: 2012-01-30 07:50:42 UTC ( hace 0 minutos )

01
Antivirus Resultado Actualización
AhnLab-V3 – 20120129
AntiVir BOO/TDss.O 20120130
Antiy-AVL – 20120130
Avast MBR:Alureon-K [Rtk] 20120130
AVG – 20120129
BitDefender Rootkit.MBR.Sst.C (Boot image) 20120130
ByteHero – 20120128
CAT-QuickHeal Bootkit.TDSS.TDL4A 20120130
ClamAV Boot.Tdss-1 20120130
Commtouch – 20120130
Comodo – 20120128
DrWeb – 20120130
Emsisoft – 20120130
eSafe – 20120126
eTrust-Vet – 20120127
F-Prot – 20120129
F-Secure Rootkit.MBR.Sst.C \(Boot image\) 20120130
Fortinet BOOT/Sst.A!tr.rkit 20120130
GData Rootkit.MBR.Sst.C 20120130
Ikarus – 20120130
Jiangmin – 20120129
K7AntiVirus – 20120127
Kaspersky Rootkit.Boot.SST.a 20120130
McAfee TDSS!mbr 20120130
McAfee-GW-Edition – 20120130
Microsoft Trojan:DOS/Alureon.F 20120130
NOD32 – 20120130
Norman MBR/Alureon.A 20120129
nProtect – 20120129
Panda – 20120129
PCTools – 20120130
Prevx – 20120130
Rising – 20120118
Sophos – 20120130
SUPERAntiSpyware – 20120128
Symantec – 20120130
TheHacker – 20120130
TrendMicro – 20120130
TrendMicro-HouseCall – 20120130
VBA32 – 20120126
VIPRE Trojan.Win32.TdlMbr.d (v) 20120130
ViRobot – 20120130
VirusBuster – 20120129

Recuerdese que estas detecciones solo serán efectivas si se arranca con otro medio, pues arrancando con el disco duro infectado, el Rootkit impide lograrlo.

Dicha version del ELISTARA 24.76 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 30-1-2012

Comentario: Prestar especial atención a ello los usuarios que han tenido y “ELIMINADO” algun FAKE ALERT, ya que es posible que haya quedado este recuerdo…

Para la detección, aconsejamos colocar el disco duro como esclavo, y analizar dicha unidad, con el ELISTARA de hoy, o arrancar con nuestro LIVE CD y lanzar el AV de McAfee (para Linux, contenido en dicho CD), que como se ve en el informe de virustotal, lo detecta como TDSS!mbr ( McAfee TDSS!mbr 20120130 ) , o con un BART PE o pilitos, hacer lo propio con el ELISTARA u otro AV de los que lo detectan (pero ni AVG, ni SrWeb, no F-Prot, ni NOD32, ni Panda, ni Sophos, ni Symantec, ni TrendMicro, que, de entre los conocidos, no lo detectan aun.

ms.