Nueva información relacionada con los servidores de descargas del SIREFEF Y PROXY-EXI (malware NLS, RootKit ReLoader, Downloader SIMDA -mal llamado backdoor-)

Ya la semana pasada vimos nuevos especimenes entre las descargas del SIREFEF y PROXY EXI, y visto que persisten y que además organizan una “fiesta privada”, quedando protegidos mientras un C_726519.NLS esté residente, empezamos a entender la función de dicho NLS que protege el driver ACPI.SYS modificado, que es un backdoor SIMDA que solo podrá ser eliminado una vez eliminado dicho C_726519.NLS

Mientras no se elimine dicho C_726519.NLS, el ACPI.SYS aparentará ser el de sistema, pero una vez eliminado dicho .NLS, ya se verá el contenido del malware en el ACPI.SYS y el ELISTARA lo detectará y eliminará

El ELISTARA detectará dicho .NLS malware, y si no puede eliminarlo, pedirá reiniciar, pero posiblemente no logre tampoco eliminarlo tras dicho reinicio, y deberá arrancarse con el CD de instalacion, pulsar R para entrar en CONSOLA DE RECUPERACION, y una vez allí ir a la carpeta de sistema y eliminar dicho fichero C_726519.NLS, hecho lo cual el ELISTARA ya detectará y podrá eliminar este ACPI.SYS malware (backdoor sIMDA) y windows deberá reponerlo al ser de sistema.

Dicho ACPI.SYS malware será detectado como Rootkit.ReLoader una vez eliminado el C_726519.NLS que será detectado como malware NLS, y deberá eliminarse conforme antes indicado.

El preanalisis de virustotal del .NLS ofrece el siguiente informe:

File name: c_726519(01) nls
Submission date: 2012-01-02 15:44:12 (UTC)

Result: 3/ 43 (7.0%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2012.01.02.00 2012.01.02 –
AntiVir 7.11.20.124 2012.01.02 –
Antiy-AVL 2.0.3.7 2012.01.02 –
Avast 6.0.1289.0 2012.01.02 Win32:RLoader-B
AVG 10.0.0.1190 2012.01.02 –
BitDefender 7.2 2012.01.02 –
ByteHero 1.0.0.1 2011.12.31 –
CAT-QuickHeal 12.00 2012.01.02 –
ClamAV 0.97.3.0 2012.01.02 –
Commtouch 5.3.2.6 2012.01.02 –
Comodo 11171 2012.01.02 –
DrWeb 5.0.2.03300 2012.01.02 –
Emsisoft 5.1.0.11 2012.01.02 –
eSafe 7.0.17.0 2012.01.01 –
eTrust-Vet 37.0.9658 2012.01.02 –
F-Prot 4.6.5.141 2012.01.02 –
F-Secure 9.0.16440.0 2012.01.02 Gen:Trojan.Heur.LP.bi5@ayhLBKc
Fortinet 4.3.388.0 2012.01.02 –
GData 22 2012.01.02 –
Ikarus T3.1.1.109.0 2011.12.31 –
Jiangmin 13.0.900 2012.01.01 –
K7AntiVirus 9.123.5823 2011.12.31 –
Kaspersky 9.0.0.837 2012.01.02 –
McAfee 5.400.0.1158 2012.01.02 –
McAfee-GW-Edition 2010.1E 2012.01.01 Heuristic.BehavesLike.Exploit.CodeExec.FFCN
Microsoft 1.7903 2012.01.02 –
NOD32 6761 2012.01.02 –
Norman 6.07.13 2012.01.02 –
nProtect 2012-01-02.01 2012.01.02 –
Panda 10.0.3.5 2012.01.02 –
PCTools 8.0.0.5 2012.01.02 –
Prevx 3.0 2012.01.02 –
Rising 23.90.05.01 2011.12.31 –
Sophos 4.72.0 2012.01.02 –
SUPERAntiSpyware 4.40.0.1006 2011.12.30 –
Symantec 20111.2.0.82 2012.01.02 –
TheHacker 6.7.0.1.368 2011.12.31 –
TrendMicro 9.500.0.1008 2012.01.02 –
TrendMicro-HouseCall 9.500.0.1008 2012.01.02 –
VBA32 3.12.16.4 2012.01.02 –
VIPRE 11340 2012.01.02 –
ViRobot 2012.1.2.4859 2012.01.02 –
VirusBuster 14.1.145.0 2012.01.02 –

Additional informationShow all
MD5   : e1e9c8e19af36186fcd08cf14951c7da
SHA1  : 2176493736a4203175bab8ed5d8abb221f494046

File size : 176644 bytes

______

El preanalisis de virustotal sobre el acpi.sys malware nos detecta el Rootkit ReLoader:

File name: acpi.sys
Submission date: 2011-12-30 12:12:11 (UTC)
Current status: finished
Result: 23 /42 (54.8%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.12.30.00 2011.12.30 –
AntiVir 7.11.20.92 2011.12.30 TR/Rootkit.Gen2
Antiy-AVL 2.0.3.7 2011.12.30 –
Avast 6.0.1289.0 2011.12.30 Win32:RLoader-B
AVG 10.0.0.1190 2011.12.30 Agent3.WJV
BitDefender 7.2 2011.12.30 Trojan.Generic.6377555
CAT-QuickHeal 12.00 2011.12.30 –
ClamAV 0.97.3.0 2011.12.29 –
Commtouch 5.3.2.6 2011.12.30 –
Comodo 11137 2011.12.30 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.12.30 Trojan.Rodricter.1
Emsisoft 5.1.0.11 2011.12.30 Virus.Win32.RLoader!IK
eSafe 7.0.17.0 2011.12.29 Win32.TRRootkit
eTrust-Vet 37.0.9654 2011.12.30 –
F-Prot 4.6.5.141 2011.12.30 –
F-Secure 9.0.16440.0 2011.12.30 Trojan.Generic.6377555
Fortinet 4.3.388.0 2011.12.30 W32/RLoader.A
GData 22 2011.12.30 Trojan.Generic.6377555
Ikarus T3.1.1.109.0 2011.12.30 Virus.Win32.RLoader
Jiangmin 13.0.900 2011.12.29 Win32/RootkitReLoader.a
K7AntiVirus 9.120.5806 2011.12.29 Trojan
Kaspersky 9.0.0.837 2011.12.30 Virus.Win32.RLoader.a
McAfee 5.400.0.1158 2011.12.30 –
McAfee-GW-Edition 2010.1E 2011.12.30 –
Microsoft 1.7903 2011.12.30 Trojan:WinNT/Simda.gen!A
NOD32 6754 2011.12.30 Win32/Agent.SUC.Gen
Norman 6.07.13 2011.12.30 W32/Suspicious_Gen2.SHSOU
nProtect 2011-12-30.01 2011.12.30 Gen:Variant.Buzy.3764
Panda 10.0.3.5 2011.12.29 Trj/CI.A
PCTools 8.0.0.5 2011.12.30 Trojan.Gen
Prevx 3.0 2011.12.30 –
Rising 23.90.04.02 2011.12.30 –
Sophos 4.72.0 2011.12.30 –
SUPERAntiSpyware 4.40.0.1006 2011.12.29 –
Symantec 20111.2.0.82 2011.12.30 Trojan.Gen
TheHacker 6.7.0.1.367 2011.12.29 –
TrendMicro 9.500.0.1008 2011.12.30 –
TrendMicro-HouseCall 9.500.0.1008 2011.12.30 –
VBA32 3.12.16.4 2011.12.29 –
VIPRE 11324 2011.12.30 Trojan.Win32.Generic!BT
ViRobot 2011.12.30.4855 2011.12.30 –
VirusBuster 14.1.140.0 2011.12.29 –

Additional informationShow all
MD5   : c6811f0f6a149516ba6fb048566bfc91
SHA1  : ce55c4cb733f088958ce74d23ea8b671f7a99389

File size : 189056 bytes

publisher….: Microsoft Corporation
copyright….: Copyright (C) Microsoft Corporation. Reservados todos los derechos.
product……: Sistema operativo Microsoft_ Windows_
description..: Controlador ACPI para NT
original name: ACPI.sys
internal name: ACPI.sys
file version.: 5.1.2600.5512 (xpsp.080413-2111)
_______
y el “backdoor SIMDA” que realmente es un Downloader que descarga dichos ficheros:
File name: Dldr (01).exe.VIR
Submission date: 2012-01-02 15:55:58 (UTC)
Result: 24/ 43 (55.8%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2012.01.02.00 2012.01.02 Downloader/Win32.CodecPack
AntiVir 7.11.20.124 2012.01.02 BDS/Simda.A.146
Antiy-AVL 2.0.3.7 2012.01.02 –
Avast 6.0.1289.0 2012.01.02 Win32:Malware-gen
AVG 10.0.0.1190 2012.01.02 Worm/Delf.KKF
BitDefender 7.2 2012.01.02 Trojan.Generic.KD.499406
ByteHero 1.0.0.1 2011.12.31 –
CAT-QuickHeal 12.00 2012.01.02 –
ClamAV 0.97.3.0 2012.01.02 –
Commtouch 5.3.2.6 2012.01.02 –
Comodo 11171 2012.01.02 UnclassifiedMalware
DrWeb 5.0.2.03300 2012.01.02 Trojan.DownLoad2.50528
Emsisoft 5.1.0.11 2012.01.02 Trojan.Win32.Buzus!IK
eSafe 7.0.17.0 2012.01.01 –
eTrust-Vet 37.0.9658 2012.01.02 –
F-Prot 4.6.5.141 2012.01.02 –
F-Secure 9.0.16440.0 2012.01.02 Trojan.Generic.KD.499406
Fortinet 4.3.388.0 2012.01.02 W32/Delf.CFOI!tr
GData 22 2012.01.02 Trojan.Generic.KD.499406
Ikarus T3.1.1.109.0 2011.12.31 Trojan.Win32.Buzus
Jiangmin 13.0.900 2012.01.01 –
K7AntiVirus 9.123.5823 2011.12.31 –
Kaspersky 9.0.0.837 2012.01.02 Trojan.Win32.Delf.cfoi
McAfee 5.400.0.1158 2012.01.02 Artemis!BF28E3590704
McAfee-GW-Edition 2010.1E 2012.01.01 Artemis!BF28E3590704
Microsoft 1.7903 2012.01.02 Backdoor:Win32/Simda
NOD32 6761 2012.01.02 Win32/Agent.STT
Norman 6.07.13 2012.01.02 W32/DelfInject.FF
nProtect 2012-01-02.01 2012.01.02 Trojan/W32.Agent.473088.BH
Panda 10.0.3.5 2012.01.02 Trj/CI.A
PCTools 8.0.0.5 2012.01.02 Trojan.Gen
Prevx 3.0 2012.01.02 –
Rising 23.90.05.01 2011.12.31 Suspicious
Sophos 4.72.0 2012.01.02 –
SUPERAntiSpyware 4.40.0.1006 2011.12.30 –
Symantec 20111.2.0.82 2012.01.02 Trojan.Gen
TheHacker 6.7.0.1.368 2011.12.31 –
TrendMicro 9.500.0.1008 2012.01.02 –
TrendMicro-HouseCall 9.500.0.1008 2012.01.02 –
VBA32 3.12.16.4 2012.01.02 –
VIPRE 11340 2012.01.02 Trojan.Win32.Generic!BT
ViRobot 2012.1.2.4859 2012.01.02 –
VirusBuster 14.1.145.0 2012.01.02 –

Additional informationShow all
MD5   : bf28e3590704a4c729de300e23add03f
SHA1  : 80d08aaee7f0f0964e44d638448c4da29599bc28

File size : 473088 bytes
_____
Todo ello originado en servidores que infectaban con SIREFEF y PROXY-EXI, por lo que entendemos que se trata de “nuevas modas” en dichos servidores de malwares
El ELISTARA 24.57 que ya controlará estas variantes, estará disponible en nuestra web a partir de las 19 h CEST de hoy.

saludos

ms, 2-1-2012