OTRA VARIANTE DE ROOTKIT NAPOLAR descargada por un downloader (FAKEWRITE)
Con esta son tres las variantes que conocemos de este rootkit, a cual peor…, pues cuando algun antivirus intenta modificar el registro de sistema, impide regenerar del registro la clave del user.ini, impidiendo reiniciar el ordenador (en cualquier manera desde el disco duro)
Para solucionar el problema se habrá de arrancar con un LIVE CD y acceder al registro de sistema del disco duro afectado, y corregir la clave afectada, o reimplantar una copia de seguridad total, hecha con un GHOST Por ejemplo.
A partir del ELISTARA 30.08 de hoy lo pasamos a controlar, si no está activo en memoria, y no solo detectamos y eliminamos el fichero malware, sino que además restauramos la clave de registro afectada, dejandola operativa.
El preanalisis de virustotal sobre el fichero malware aislado ofrece este informe:
MD5 936c0c62e0cf4d18c9ab49ecff458035
SHA1 4224970c96f6a4f2d076947c8ec3c2accd809267
Tamaño del fichero 172.0 KB ( 176128 bytes )
SHA256: 640ee5a5ad784efccd8bf98e825360533f7d57ec01ecf5b966238b136300e013
Nombre: lsass.exe
Detecciones: 25 / 52
Fecha de análisis: 2014-06-02 11:09:49 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
AVG Zbot.JLA 20140602
Ad-Aware Gen:Variant.Zusy.94469 20140602
AhnLab-V3 Dropper/Win32.Necurs 20140602
AntiVir TR/Dropper.Gen 20140602
Avast Win32:Malware-gen 20140602
Baidu-International Trojan.Win32.Injector.BBEMY 20140602
BitDefender Gen:Variant.Zusy.94469 20140602
Comodo UnclassifiedMalware 20140602
ESET-NOD32 a variant of Win32/Injector.BEMY 20140602
Emsisoft Gen:Variant.Zusy.94469 (B) 20140602
F-Secure Gen:Variant.Zusy.94469 20140601
Fortinet W32/Foreign.BEIX!tr 20140602
GData Gen:Variant.Zusy.94469 20140602
K7GW Trojan ( 0049aba51 ) 20140602
Kaspersky Trojan-Ransom.Win32.Foreign.kuyl 20140602
Malwarebytes Trojan.Ransom.ED 20140602
McAfee PWSZbot-FANJ!936C0C62E0CF 20140602
McAfee-GW-Edition PWSZbot-FANJ!936C0C62E0CF 20140602
MicroWorld-eScan Gen:Variant.Zusy.94469 20140602
Norman Troj_Generic.UEPBW 20140602
Panda Trj/CI.A 20140602
Qihoo-360 Malware.QVM10.Gen 20140602
Sophos Mal/Generic-S 20140602
Tencent Win32.Trojan.Foreign.Hryq 20140602
TrendMicro-HouseCall TROJ_GEN.R0CBC0PF214
Dicha version del ELISTARA 30.08 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 2-6-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.