ROOTKIT-DROPPER DEL SIREFEF QUE INFECTA FICHEROS CON KATUSHA
En este caso son ficheros legitimos los que ha modificado y regeneran el SIREFEF. A este RootKit Dropper, McAfee le llama Katusha.
Arrancando con LIVE CD o colocando el disco como esclavo, el antivirus le limpiará dicho fichero modificado, tras lo cual el ELISIREF podrá limpiar sin que nadie lo regenere.
A partir del ELISTARA 24.64, si no está en uso el ROOTKIT, el ELISTARA avisará de que se ha detectado dicho ROOTKIT DROPPER DEL SIREFEF, para que se actue conforme indicado.
El preanalisis de virustotal ofrece el siguiente informe:
Nombre de fichero mscorsvw.exe
SHA256: a6befc47515c5d7c73a750ea05ef3824d9e677926ba66fb2c53c992c0d8a2182
SHA1: 570f44e87c5574981c23af8bd48598303916d529
MD5: 1603f02fac0c16dcf0efa1a0db93bbf0
File size: 127.3 KB ( 130384 bytes )
File type: Win32 EXE
Detection ratio: 39 / 43
00Antivirus Result Version Update
AhnLab-V3 Win-Trojan/Patched.DD 2012.01.12.00 20120112
AntiVir W32/PatchLoad.A 7.11.21.0 20120112
Antiy-AVL Trojan/win32.agent.gen 2.0.3.7 20120112
Avast Win32:Patched-WQ [Trj] 6.0.1289.0 20120112
AVG Win32/Katusha.A 10.0.0.1190 20120112
BitDefender Trojan.Generic.6131959 7.2 20120112
ByteHero – 1.0.0.1 20120111
CAT-QuickHeal W32.Patchload.O 12.00 20120112
ClamAV Trojan.Patched-167 0.97.3.0 20120112
Commtouch W32/Patched.G 5.3.2.6 20120112
Comodo UnclassifiedMalware 11251 20120112
DrWeb Trojan.Starter.1695 5.0.2.03300 20120112
Emsisoft Virus.Win32.Zbot!IK 5.1.0.11 20120112
eSafe Win32.Katusha 7.0.17.0 20120111
eTrust-Vet Win32/Patchload.U 37.0.9677 20120112
F-Prot W32/Patched.G 4.6.5.141 20120112
F-Secure Trojan.Generic.6131959 9.0.16440.0 20120112
Fortinet W32/Patched.MF!tr 4.3.388.0 20120112
GData Trojan.Generic.6131959 22 20120112
Ikarus Virus.Win32.Zbot T3.1.1.113.0 20120112
Jiangmin TrojanSpy.Zbot.adxr 13.0.900 20120112
K7AntiVirus Trojan 9.125.5916 20120111
Kaspersky Trojan.Win32.Patched.mf 9.0.0.837 20120112
McAfee W32/Katusha 5.400.0.1158 20120112
McAfee-GW-Edition W32/Katusha 2010.1E 20120112
Microsoft Virus:Win32/Patchload.O 1.7903 20120112
NOD32 Win32/Patched.HN 6789 20120112
Norman W32/Patched.BH 6.07.13 20120112
nProtect Virus/W32.Patched.Gen 2012-01-12.01 20120112
Panda W32/Katusha.BN 10.0.3.5 20120111
PCTools Trojan.Paccyn 8.0.0.5 20120112
Prevx – 3.0 20120112
Rising Win32.Loader.li 23.92.03.02 20120112
Sophos W32/Patched-AL 4.73.0 20120112
SUPERAntiSpyware – 4.40.0.1006 20120112
Symantec Trojan.Paccyn!inf 20111.2.0.82 20120112
TheHacker – 6.7.0.1.375 20120110
TrendMicro PTCH_KATUSHA.W 9.500.0.1008 20120112
TrendMicro-HouseCall PTCH_KATUSHA.W 9.500.0.1008 20120112
VBA32 Trojan-Spy.Zbot.gen 3.12.16.4 20120112
VIPRE Virus.Win32.Agent.mpq (v) 11387 20120112
ViRobot Win32.Patched.BE 2012.1.12.4877 20120112
VirusBuster Win32.Katusha.Gen 14.1.163.0 20120112
Dicha version del ELISTARA 24.64 estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 12-1-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.