NUEVA VARIANTE DEL ROOTKIT BACKDOOR PHDET.S DE DIFICIL DETECCIÓN !!!

Publicado el 4 marzo 2014 ¬ 14:59 pmh.mscComentarios desactivados en NUEVA VARIANTE DEL ROOTKIT BACKDOOR PHDET.S DE DIFICIL DETECCIÓN !!!

Si bien a partir del ELISTARA 29.50 detectamos este sofisticado rootkit, ello solo es posible cuando no está en uso, pues de lo contrario, ni en MODO SEGURO es posible detectarlo, ya que está activo salvo que se arranque con un CD (LIVE-CD), y estando activo no hay quien lo pille !

sus componentes principales:

Queda residente. (con tecnicas RootKit)

%WinSys%\ nethost.exe          (no visible)
%WinSys%\ DLL1.tmp             (no visible)
%WinSys%\ drivers\ nethost.sys (no visible)
%WinSys%\ drivers\ str.sys     (cuando esta en uso, denegado acceso lectura)

 

El preanalisis de virustotal ofrece este informe, sobre una muestra sin estar en uso:

MD5 d6e58c9471bbd7fdfc23af65d100a144
SHA1 d5063b19030f08041a6fab264f8393709e7f346a
Tamaño del fichero 185.0 KB ( 189440 bytes )
SHA256: d6a28caaad555a6adf6a76e65b26ca0fca694aa286e07e230335389895b09d34
Nombre: nethost.exe
Detecciones: 11 / 50
Fecha de análisis: 2014-03-04 13:47:22 UTC ( hace 0 minutos )

0 1

 

Antivirus  Resultado  Actualización
AhnLab-V3  Spyware/Win32.Zbot  20140304
AntiVir  TR/Dropper.Gen  20140304
Baidu-International  Trojan.Win32.Kryptik.BWHG  20140304
Bkav  HW32.CDB.Abdc  20140304
ESET-NOD32  a variant of Win32/Kryptik.BWHG  20140304
McAfee  PWS-Zbot-FBDC!D6E58C9471BB  20140304
Microsoft  Backdoor:Win32/Phdet.S  20140304
Panda  Suspicious file  20140304
Qihoo-360  Malware.QVM19.Gen  20140304
Rising  PE:Malware.XPACK/RDM!5.1  20140304
Sophos  Mal/ZAccess-CK  20140304
Dicha version del ELISTARA 29.50 que puede detectarlo en las condiciones arriba indicadas, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 4-3-2014

 

NOTA:

Analizado el origen de uno de los sites que tienen acceso al ordenador infectado por este backdoor, ha resultado ser de Ukraina:

Country Code Location Postal Code Coordinates ISP Organization Domain Metro Code User Type Confidences
212.90.181.100 UA Ukraine,
Europe  49,32 Ukrcom Ltd.

y otras a las que abre el acceso son:

183.81.160.70 MY Malaysia,
Asia  2.5,
112.5 IP ServerOne Solutions Sdn Bhd IP ServerOne Solutions Sdn Bhd
213.180.204.32 RU Russia,
Europe  60,
100 YANDEX 

y como ellas, muchas otras, que pueden estar teniendo acceso a muchos ordenadores, incluidos los que menos lo piensan, dado que dicho backdoor “invisible” se descarga de un downloader Sounder y se autoejecuta sin avisar ni ser detectado… Temible !!!

ms.

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies