NUEVA VARIANTE DE TROJAN SHUTDOWNER (ROOTKIT) muy poco detectado por los actuales antivirus (solo 3 de 50 AV)
Empieza con un EXE descargado por un downloader, que tras autoejecutarse e instalar el rootkit en cuestion, prepara su borrado en el siguiente reinicio, quedando solo el .SYS, que no se verá al ser rootkit, y ni los antivirus ni las utilidades lo detectan en modo normal, por lo que para su deteccion y control deberá arrancarse el ordenador EN MODO SEGURO, lo cual conviene hacer si se observa un alto consumo de CPU sin causa justificada.
Pasamos a controlarlo a partir de la version 29.25 del ELISTARA de hoy
El preanalisis de virustotal ofrece el siguiente informe:
MD5 deeae47c79152126355d631424d9a4bd
SHA1 93cfd31b5fb55ddc365e131445f8ef4f78761e45
File size 466.0 KB ( 477184 bytes )
SHA256: e347327e0a5caa3787d556a300a0dd83a419fea1d438e6277b82927e5b781bb9
Nombre: vmbbqh sys
Detecciones: 3 / 50
Fecha de análisis: 2014-01-29 11:54:20 UTC ( hace 24 minutos )
0 1
Antivirus Resultado Actualización
AhnLab-V3 Malware/Win32.Suspicious 20140129
Qihoo-360 HEUR/Malware.QVM00.Gen 20140127
Symantec WS.Reputation.1 20140129
Dicha version del ELISTARA 29.25 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 29-1-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.