VARIANTE DE NUEVO SIREFEF ATIPICO, QUE SE INSTALA EN RUTA “INACCESIBLE”
Hemos recibido incidencia sobre nueva variante de virus que tiene alguna similitud con el Sirefef (ZERO ACCESS), si bien con importantes modificaciones que dificultan su detección, control y eliminación.
El primer escollo es la ruta donde se instala, con carpetas de caracteres no convencionales:
O4 – HKCU\..\Run: [Google Update] “C:\Documents and Settings\alm\Configuración local\Datos de programa\Google\Desktop\Install\{4a6449b8-ef85-b032-2880-2268992d161e}\???\???\???\{4a6449b8-ef85-b032-2880-2268992d161e}\GoogleUpdate.exe
Como se ve, el fichero se instala en una carpeta que cuelga de otras anteriores, entre las que se observan tres conflictivas, con caracteres no admitidos: \???\???\???\
Además el preanalisis del DESKTOP.INI ofrece este informe:
SHA256: 4592993a421da9348486b15e23a103c1f213006147fd44fb4ecf39907079b56c
SHA1: abd26aa0e49bde363efe99f51c97d3bedc9605e3
MD5: 395c160c8b50d3bf4c8527d771573fdb
Tamaño: 5.1 KB ( 5244 bytes )
Nombre: Desktop.ini
Tipo: Win32 DLL
Etiquetas: corrupt pedll
Detecciones: 15 / 47
Fecha de análisis: 2013-10-14 10:10:13 UTC
0 1 Más detalles Análisis File detail Información adicional Comentarios Votos Antivirus Resultado Actualización
Agnitum 20131013
AhnLab-V3 Backdoor/Win32.ZAccess 20131013
AntiVir 20131014
Antiy-AVL 20131014
Avast Win32:Sirefef-PL [Rtk] 20131014
AVG Generic34.BSLL 20131013
Baidu-International 20131014
BitDefender Trojan.Sirefef.YS 20131012
Bkav W32.BeodeiLTAM.Trojan 20131013
ByteHero 20130924
CAT-QuickHeal 20131013
ClamAV 20131013
Commtouch 20131014
Comodo 20131014
DrWeb 20131014
Emsisoft Trojan.Sirefef.YS (B) 20131014
ESET-NOD32 Win32/Sirefef.EZ 20131014
F-Prot 20131014
Fortinet 20131014
GData Trojan.Sirefef.YS 20131014
Ikarus 20131014
Jiangmin 20131014
K7AntiVirus 20131011
K7GW 20131011
Kaspersky 20131014
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130829
Malwarebytes Rootkit.0Access 20131014
McAfee ZeroAccess-FAT!395C160C8B50 20131014
McAfee-GW-Edition ZeroAccess-FAT!395C160C8B50 20131014
Microsoft Trojan:Win32/Sirefef.AB 20131014
MicroWorld-eScan Trojan.Sirefef.YS 20131014
NANO-Antivirus 20131014
Norman 20131014
nProtect 20131014
Panda 20131014
PCTools 20131002
Rising 20131014
Sophos 20131014
SUPERAntiSpyware 20131013
Symantec 20131014
TheHacker 20131014
TotalDefense 20131011
TrendMicro 20131014
TrendMicro-HouseCall 20131014
VBA32 20131011
VIPRE Corrupted File (v) 20131014
ViRobot 20131014
Dicho DESKTOP.INI está ubicado en %WinDir%\Assembly\GAC\Desktop.ini, y se deben dar permisos para poder eliminarlo, lo cual ya hace el actual ELISIREF, aunque se regenerará si no se elimina además el GoogleUpdate malware de marras.
Y el preanalisis con virustotal del dropper del SIREFEF propiamente dicho,ofrece este informe:
SHA256: 966d693fe2afe58942eb366a09b4eb2efc2f8bb67af650de41820915316ac2a3
SHA1: 3ff8d7569c7699065a20cd748026ba872d04fccc
MD5: eb0f324c76a6c5627bed48ca37d6bd3f
Tamaño: 152.0 KB ( 155648 bytes )
Nombre: Dropper (1347809967).exe.vir
Tipo: Win32 EXE
Detecciones: 9 / 47
Fecha de análisis: 2013-10-14 16:01:52 UTC ( hace 0 minutos )
0 1 Más detalles ?Análisis ?File detail ?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum ? 20131014
AhnLab-V3 ? 20131014
AntiVir ? 20131014
Antiy-AVL ? 20131014
Avast ? 20131014
AVG ? 20131013
Baidu-International ? 20131014
BitDefender ? 20131012
ByteHero Trojan.Malware.Obscu.Gen.002 20131011
CAT-QuickHeal ? 20131014
ClamAV ? 20131013
Commtouch ? 20131014
Comodo ? 20131014
DrWeb ? 20131014
Emsisoft ? 20131014
ESET-NOD32 ? 20131014
F-Prot ? 20131014
F-Secure ? 20131014
Fortinet W32/Kryptik.BJEN!tr 20131014
GData ? 20131014
Ikarus ? 20131014
Jiangmin ? 20131014
K7AntiVirus ? 20131014
K7GW ? 20131014
Kaspersky UDS:DangerousObject.Multi.Generic 20131014
Kingsoft ? 20130829
Malwarebytes Trojan.Ransom.REL 20131014
McAfee Artemis!EB0F324C76A6 20131014
McAfee-GW-Edition Artemis!EB0F324C76A6 20131014
Microsoft ? 20131014
MicroWorld-eScan ? 20131014
NANO-Antivirus ? 20131014
Norman ? 20131014
nProtect ? 20131014
Panda Suspicious file 20131014
PCTools ? 20131002
Rising ? 20131014
Sophos Mal/ZAccess-BL 20131014
SUPERAntiSpyware ? 20131013
Symantec ? 20131014
TheHacker ? 20131014
TotalDefense ? 20131011
TrendMicro ? 20131014
TrendMicro-HouseCall ? 20131014
VBA32 ? 20131014
VIPRE Trojan.Win32.Generic!SB.0 20131014
ViRobot ? 20131014
Al fichero GOOGLEUPDATE.EXE que cuelga de la ruta maliciosa aun no lo hemos podido aislar, si bien ya logramos desactivar su lanzamiento, pero hasta ahora solo lo hemos logrado viendo con el SPROCES su ubicación y llegando a él manualmente, lo cual intentaremos traspasar a un próximo ELISIREF, de lo cual informaremos cuando esté disponible, y mientras, proceder manualmente a desactivarlo si con el SPROCES se detecta la clave en cuestión:
O4 – HKCU\..\Run: [Google Update] “C:\Documents and Settings\alm\Configuración local\Datos de programa\Google\Desktop\Install\{4a6449b8-ef85-b032-2880-2268992d161e}\???\???\???\{4a6449b8-ef85-b032-2880-2268992d161e}\GoogleUpdate.exe
A dicha clave no se puede acceder con el REGEDIT, pues indica anomalías en la ruta de acceso.
Seguiremos informando
saludos
ms, 15-10-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.