NUEVA VARIANTE DE ZEROACCESS QUE ES UNA DERIVACION DEL SIREFEF (SIREFEF-D)

Descargado por el downloader o worm VBNA, y ademas de otros especimenes de otras familias tambien conocidas, ha aparecido una nueva gama del ya conocido SIREFEF, pero que se protege de diferente forma a la de las variantes conocidas.
Hasta ahora, con mas o menos diferencias entre ellos, los SIREFEF se escondian en una pseudo carpeta con atributo junction y una vez se podia eliminar esta, quedaba desprotegido y su eliminacion era posible, pero ahora ha cambiado, y ya no utiliza dicha carpeta (que aparentaba ser la desinstalacion de un parche sde MICROSOFT),

Un efecto caracteristico, aunque no sea preocupante, es que ordena los iconos del escritorio  a la izquierda de la pantalla, estando la organizacion automática de iconos desactivada. Ello nos sirve para identificar si ha ingresado dicho virus, si bien tras eliminarlo no  se va, y ya veremos como lo restauramos a su normalidad, aunque el primer paso ha sido eliminar el virus, lo cual hemos logrado en la version 1.98 del ELISIREF de hoy.

El sistema de proteccion se basa con esta variante en ocultar mediante RootKit varias carpetas  que cuelgan de la ruta %Windir%\ Installer\ {8dig-4dig-4dig-4dig-12 dig} y de
%Datos de programa% (Config Local)\{identica class a la ruta anterior}

Con ello protege e impide tocar al fichero DESKTOP.INI, que en este caso es un MZ de 5120 bytes

%WinDir%\ GAC\ Desktop.ini

Otras caracteristicas de los demas SIREFEF tambien se aprecian en esta variante, pero las indicadas son las diferenciales

Algunas muestras obtenidas de dicho engendro, subidas al Virus Total, ofrecen estos informes:
Nombre:  desktop ini
Detecciones:  24 / 41
Fecha de análisis:  2012-06-29 18:16:46 UTC ( hace 0 minutos )
0
1
Más detalles
Antivirus  Resultado  Actualización
AntiVir  –  20120629
Antiy-AVL  Trojan/win32.agent.gen  20120629
Avast  Win32:Sirefef-PL [Rtk]  20120629
AVG  Generic28.AUQH  20120629
BitDefender  Trojan.Generic.7570679  20120629
ByteHero  –  20120626
CAT-QuickHeal  –  20120629
ClamAV  Trojan.Zaccess-832  20120629
Commtouch  –  20120629
Comodo  UnclassifiedMalware  20120629
DrWeb  –  20120629
Emsisoft  Trojan.Win32.Sirefef!IK  20120629
eSafe  Win32.TrojanSirefef  20120628
F-Prot  –  20120629
F-Secure  Trojan.Generic.7570679  20120629
Fortinet  W32/Sirefef.EZ  20120629
GData  Trojan.Generic.7570679  20120629
Ikarus  Trojan.Win32.Sirefef  20120629
Jiangmin  –  20120629
K7AntiVirus  Riskware  20120629
Kaspersky  –  20120629
McAfee  Artemis!2D43779FB049  20120629
McAfee-GW-Edition  Artemis!2D43779FB049  20120629
Microsoft  Trojan:Win32/Sirefef.AB  20120629
NOD32  Win32/Sirefef.EZ  20120629
Norman  W32/Troj_Generic.CBKEF  20120629
nProtect  Trojan.Generic.7570679  20120629
Panda  Generic Trojan  20120629
PCTools  Trojan.Zeroaccess  20120629
Rising  –  20120628
Sophos  Troj/Sirefef-BB  20120629
SUPERAntiSpyware  –  20120629
Symantec  Trojan.Zeroaccess  20120629
TheHacker  –  20120628
TotalDefense  –  20120629
TrendMicro  TROJ_SIREFEF.IK  20120629
TrendMicro-HouseCall  –  20120629
VBA32  –  20120629
VIPRE  –  20120629
ViRobot  –  20120629
VirusBuster  –  20120629
_______

SHA256:  25864eabf89fbaf21c8a5e1b022fb422dd33e008855743479ca5e68cba207db0
Nombre:  N(01)
Detecciones:  18 / 42
Fecha de análisis:  2012-06-29 18:20:47 UTC ( hace 0 minutos )
0
1
Más detalles
Antivirus  Resultado  Actualización
AhnLab-V3  Trojan/Win32.ZeroAccess  20120629
AntiVir  TR/Sirefef.P.897  20120629
Antiy-AVL  –  20120629
Avast  –  20120629
AVG  Generic28.BXVY  20120629
BitDefender  Gen:Heur.Raldhep.1  20120629
ByteHero  –  20120613
CAT-QuickHeal  –  20120629
ClamAV  –  20120629
Commtouch  –  20120629
Comodo  –  20120629
DrWeb  –  20120629
Emsisoft  Trojan.Win32.Sirefef!IK  20120629
eSafe  –  20120628
F-Prot  –  20120629
F-Secure  Gen:Heur.Raldhep.1  20120629
Fortinet  –  20120629
GData  Gen:Heur.Raldhep.1  20120629
Ikarus  Trojan.Win32.Sirefef  20120629
Jiangmin  –  20120629
K7AntiVirus  –  20120629
Kaspersky  HEUR:Trojan.Win32.Generic  20120629
McAfee  ZeroAccess.fb  20120629
McAfee-GW-Edition  –  20120629
Microsoft  Trojan:Win32/Sirefef.P  20120629
NOD32  Win32/Sirefef.EV  20120629
Norman  –  20120629
nProtect  –  20120629
Panda  Trj/Xpacked.A  20120629
PCTools  HeurEngine.MaliciousPacker  20120629
Rising  –  20120628
Sophos  Mal/ZAccess-W  20120629
SUPERAntiSpyware  –  20120629
Symantec  Packed.Generic.367  20120629
TheHacker  –  20120628
TotalDefense  –  20120629
TrendMicro  –  20120629
TrendMicro-HouseCall  –  20120629
VBA32  –  20120629
VIPRE  Trojan.Win32.Sirefef.b (v)  20120629
ViRobot  Trojan.Win32.A.Birele.53760.D  20120629
VirusBuster  –  20120629

Lo malo es que algunos de los AV que lo detectan, luego no lo terminan de eliminar, debiso a las tecnicas de RootKit que incorpora dicho malware.
Pero a partir de la version de hoy del ELISIREF 1.98 , ya conseguimos romper la barrera de dicho rootkit y llegar al corazon del virus, y, al menos la muestra descargada, la hemos conseguido eliminar y erradicar los problemas que causa dicho nuevo RootKit

Hemos visto que McAfee lo detecta como ZEROACCESS, pero repetitivamente va apareciendo dicha detección, razón por la que hemos procedido a la monitorizacion de esta nueva variante y a buscar tecnicas para eliminarlo, lo cual parece que hemos conseguido con esta version de hoy del ELISIREF 1.98, e incluso en el ELISTARA hemos colocado detección de la posible infección del mismo, y, en el caso de detectarlo ofrece el aviso correspondiente y añade que se lance el ELISIREF, para su eliminacion.

El lunes seguiremos comprobando esta y las nuevas variantes que aparezcan, y mejoraremos en lo posible dicha utilidad ELISIREF, que tan buenos resultados nos dió con el SIREFEF conocido hasta ahora, y que esperamos que con las nuevas versiones, haga lo propio con estas nuevas variantes de ZEROAACESS/SIREFEF

Si son de los usuarios que su antivirus detecta ZEROACCESS o SIREFEF y no logra eliminarlo, probar esta nueva version del ELISIREF 1.98 y comentarnos el resultado, gracias

saludos

ms, 29-6-2012