OTRA VARIANTE DEL FASTIDIOSO BACKDOOR NAPOLAR, que bloquea el acceso a logarse al reiniciar
Al igual que la muestra recibida ayer de esta familia, de la que informabamos en https://blog.satinfo.es/2013/nueva-variante-de-rootkit-napolar-aw-provoca-reinicios-al-reiniciar-en-cualquier-modo/ , nos llega otra muestra de este especimen, que pasamos a controlar a partir del ELISTARA 29.01 de hoy, en el que hemos implementado ademas de su control, la restauracion de claves criticas del registro que eran modificadas y alteraban el reinicio.
Lo peor del caso es que si se ha sido infgectado y no se puede reiniciar, por no acceder a poder logarse, se ha de arrancar con nuestro LIVE CD o con un Pilitos o BartPE y lanzar el ELISTARA para detectar y restaurar las claves modificadas, tras lo cual deberá arrancarse en MODO SEGURO y lanzar de nuevo el ELISTARA para eliminar el malware propiamente dicho.
La primera de las muestras (de ayer) conectaba con web de Rusia, (visto con el NETSTAT /A y ver las conexiones abiertas con ports remotos) y en cambio la de hoy lo hace de otra de Alemania.
El preanalisis de virustotal ofrece este informe:
MD5 0d31590cfef988d4e83560ebc0b3ddac
SHA1 c1192b6fc761b03a725bbd7b04732ffd7f7acacb
File size 93.0 KB ( 95232 bytes )
SHA256: 0d6278c4ac8ea6fef6941db45045982b75870128ec0b19a90765e899937a1763
Nombre: lsass.exe
Detecciones: 40 / 47
Fecha de análisis: 2013-12-19 17:01:13 UTC ( hace 0 minutos )
0 1 Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Ad-Aware Gen:Variant.Graftor.122189 20131211
Agnitum 20131217
AhnLab-V3 Trojan/Win32.Cossta 20131219
AntiVir TR/Crypt.XPACK.Gen 20131219
Antiy-AVL Trojan/Win32.Cossta 20131219
Avast Win32:Napolar-D [Trj] 20131219
AVG Win32/DH{fH0eAGEPNQ} 20131219
Baidu-International Trojan.Win32.Cossta.anG 20131213
BitDefender Gen:Variant.Graftor.122189 20131211
Bkav W32.OscoleF.Trojan 20131219
ByteHero Virus.Win32.Heur.d 20130613
CAT-QuickHeal Trojan.Napolar 20131218
ClamAV 20131219
CMC 20131217
Commtouch W32/Trojan.YJDX-6222 20131219
Comodo TrojWare.Win32.Kryptik.BLGK 20131219
DrWeb Trojan.Inject1.30341 20131219
Emsisoft Gen:Variant.Graftor.122189 (B) 20131219
ESET-NOD32 Win32/Napolar.A 20131219
F-Prot 20131219
F-Secure Trojan:W32/Napolar.A 20131219
Fortinet W32/Cossta.A!tr 20131219
GData Gen:Variant.Graftor.122189 20131219
Ikarus Trojan.Win32.Napolar 20131219
Jiangmin TrojanDropper.Dapato.vfj 20131219
K7AntiVirus 20131219163047
K7GW Trojan ( 0040f6b31 ) 20131219
Kaspersky Trojan.Win32.Cossta.aago 20131219
Kingsoft Win32.Troj.Cossta.aa.(kcloud) 20130829
Malwarebytes Trojan.Napolar 20131219
McAfee Trojan-FDFI!0D31590CFEF9 20131219
McAfee-GW-Edition 20131219174728
Microsoft Trojan:Win32/Napolar.A 20131219
MicroWorld-eScan Gen:Variant.Graftor.122189 20131219
NANO-Antivirus Trojan.Win32.Cossta.cqikyo 20131219
Norman Napolar.E 20131219
nProtect Trojan/W32.Cossta.95232.B 20131219
Panda Suspicious file 20131219
Rising PE:Trojan.Napolar!6.EF3 20131218
Sophos Troj/Agent-AEKL 20131219
SUPERAntiSpyware Trojan.Agent/Gen-Napolar 20131219
Symantec Trojan.Zbot 20131219
TheHacker 20131219
TotalDefense 20131219
TrendMicro TROJ_GEN.R021C0CLH13 20131219
TrendMicro-HouseCall TROJ_GEN.R021C0CLH13 20131219
VBA32 Trojan.Cossta 20131219
VIPRE 20131219
ViRobot Trojan.Win32.Agent.95232.V 20131219
Dicha version del ELISTARA 29.01 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 19-12-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.