OTRA VARIANTE DE ROOTKIT NAPOLAR descargada por un downloader (FAKEWRITE)

Publicado el 2 junio 2014 ¬ 14:33 pmh.mscComentarios desactivados en OTRA VARIANTE DE ROOTKIT NAPOLAR descargada por un downloader (FAKEWRITE)

Con esta son tres las variantes que conocemos de este rootkit, a cual peor…, pues cuando algun antivirus intenta modificar el registro de sistema, impide regenerar del registro la clave del user.ini, impidiendo reiniciar el ordenador (en cualquier manera desde el disco duro)

Para solucionar el problema se habrá de arrancar con un LIVE CD y acceder al registro de sistema del disco duro afectado, y corregir la clave afectada, o reimplantar una copia de seguridad total, hecha con un GHOST Por ejemplo.

A partir del ELISTARA 30.08 de hoy lo pasamos a controlar, si no está activo en memoria, y no solo detectamos y eliminamos el fichero malware, sino que además restauramos la clave de registro afectada, dejandola operativa.

El preanalisis de virustotal sobre el fichero malware aislado ofrece este informe:

MD5 936c0c62e0cf4d18c9ab49ecff458035
SHA1 4224970c96f6a4f2d076947c8ec3c2accd809267
Tamaño del fichero 172.0 KB ( 176128 bytes )
SHA256: 640ee5a5ad784efccd8bf98e825360533f7d57ec01ecf5b966238b136300e013
Nombre: lsass.exe
Detecciones: 25 / 52
Fecha de análisis: 2014-06-02 11:09:49 UTC ( hace 0 minutos )

0 1

Antivirus  Resultado  Actualización
AVG  Zbot.JLA  20140602
Ad-Aware  Gen:Variant.Zusy.94469  20140602
AhnLab-V3  Dropper/Win32.Necurs  20140602
AntiVir  TR/Dropper.Gen  20140602
Avast  Win32:Malware-gen  20140602
Baidu-International  Trojan.Win32.Injector.BBEMY  20140602
BitDefender  Gen:Variant.Zusy.94469  20140602
Comodo  UnclassifiedMalware  20140602
ESET-NOD32  a variant of Win32/Injector.BEMY  20140602
Emsisoft  Gen:Variant.Zusy.94469 (B)  20140602
F-Secure  Gen:Variant.Zusy.94469  20140601
Fortinet  W32/Foreign.BEIX!tr  20140602
GData  Gen:Variant.Zusy.94469  20140602
K7GW  Trojan ( 0049aba51 )  20140602
Kaspersky  Trojan-Ransom.Win32.Foreign.kuyl  20140602
Malwarebytes  Trojan.Ransom.ED  20140602
McAfee  PWSZbot-FANJ!936C0C62E0CF  20140602
McAfee-GW-Edition  PWSZbot-FANJ!936C0C62E0CF  20140602
MicroWorld-eScan  Gen:Variant.Zusy.94469  20140602
Norman  Troj_Generic.UEPBW  20140602
Panda  Trj/CI.A  20140602
Qihoo-360  Malware.QVM10.Gen  20140602
Sophos  Mal/Generic-S  20140602
Tencent  Win32.Trojan.Foreign.Hryq  20140602
TrendMicro-HouseCall  TROJ_GEN.R0CBC0PF214
Dicha version del ELISTARA 30.08 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 2-6-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies