Nueva variante NLS del SIMDA de los que ocultan el contenido real del ACPI.SYS con BACKDOOR SIMDA
Ya son mas de 20 las variantes de este malware NLS que conocemos, y si bien las primeras eran relativas al SIREFEF, las mas recientes afectan al BACKDOOR SIMDA, haciendo ver el ACPI.SYS original aun cuando se esté utilizando el del BACKDOOR SIMDA.
Estamos viendo que en varios casos que hemos tenido de PROXY EXI, tambien se había instalado el BACKDOOR SIMDA, si bien no es detectado si no se arranca con un BAR PE o colocando el disco infectado como esclavo, con lo que lanzando el ELISTARA se detecta dicho BACKDOOR SIMDA en el ACPI.SYS, que siempre mantiene el mismo codigo, aparte de los NLS en cuestion, si ya es una variante controlada, lo cual vemos que muy pocos antivirus lo detectan actualmente en esta variante (solo 3 de 43)
Editaremos hoy mismo una noticia al respecto de la gran probabilidad de tener oculto dicho BACKDOOR en los ordenadores en los que se ha detectado, y eliminado o no, el PROXY EXI
El preanalisis de virustotal ofrece este informe, con solo 3 detecciones !
Nombre Fichero : c_726519.nls
SHA256: d785f2212b5df975808f68bac01a18806e95cdb6c758fc8ee93a80982e82cbbc
SHA1: a305c42201905faa7c026e59a78eabd7815d4b1c
MD5: 0e7066123a927d2be646991ca6ecb19d
File size: 172.5 KB ( 176644 bytes )
File type: unknown
Detection ratio: 3 / 43
Analysis date: 2012-01-13 08:09:03 UTC ( 0 minutes ago )
00
Antivirus Result Version Update
AhnLab-V3 – 2012.01.12.02 20120112
AntiVir – 7.11.21.8 20120113
Antiy-AVL – 2.0.3.7 20120113
Avast Win32:RLoader-B 6.0.1289.0 20120112
AVG – 10.0.0.1190 20120113
BitDefender – 7.2 20120113
ByteHero – 1.0.0.1 20120111
CAT-QuickHeal – 12.00 20120113
ClamAV – 0.97.3.0 20120113
Commtouch – 5.3.2.6 20120113
Comodo – 11254 20120113
DrWeb – 5.0.2.03300 20120113
Emsisoft – 5.1.0.11 20120113
eSafe – 7.0.17.0 20120111
eTrust-Vet – 37.0.9679 20120113
F-Prot – 4.6.5.141 20120112
F-Secure Gen:Trojan.Heur.LP.bi5@ayhLBKc 9.0.16440.0 20120113
Fortinet – 4.3.388.0 20120113
GData – 22 20120113
Ikarus – T3.1.1.113.0 20120113
Jiangmin – 13.0.900 20120112
K7AntiVirus – 9.125.5916 20120111
Kaspersky – 9.0.0.837 20120113
McAfee – 5.400.0.1158 20120113
McAfee-GW-Edition Heuristic.BehavesLike.Exploit.CodeExec.FFCN 2010.1E 20120113
Microsoft – 1.7903 20120113
NOD32 – 6790 20120113
Norman – 6.07.13 20120112
nProtect – 2012-01-12.01 20120112
Panda – 10.0.3.5 20120112
PCTools – 8.0.0.5 20120113
Prevx – 3.0 20120113
Rising – 23.92.04.01 20120113
Sophos – 4.73.0 20120113
SUPERAntiSpyware – 4.40.0.1006 20120113
Symantec – 20111.2.0.82 20120113
TheHacker – 6.7.0.1.375 20120110
TrendMicro – 9.500.0.1008 20120113
TrendMicro-HouseCall – 9.500.0.1008 20120113
VBA32 – 3.12.16.4 20120112
VIPRE – 11390 20120113
ViRobot – 2012.1.13.4878 20120113
VirusBuster – 14.1.164.0 20120112
A partir del ELISTARA 24.64 ya controlamos esta variante, pero repetimos que solo es accesible y visible arrancando con otro medio, no con el disco duro infectado.
Recomendamos leer la Noticia de hoy sobre lo indicado del PROXI-EXI / BACKDOOR SIMDA
saludos
ms, 13-1-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.