OTRO BACKDOOR ROOTKIT PHDET QUE SOLO SE DETECTA ARRANCANDO CON OTRO MEDIO (POR EJEMPLO LIVE CD)
Ni en modo seguro es posible detectar este rootkit, que abre puertos a direcciones remotas que pueden acceder a la totalidad del disco afectado.
Mientras está activo, el servicio “nethost” no es visible, pero arrancando con otro medio puede acederse a los ficheros integrantes y eliminarlos con el ELISTARA
A partir del ELISTARA 29.76 se controla dicho malware, arrancando en la forma indicada.
Son dos los ficheros integrantes , el NETHOST.SYS y un .EXE de nombre variable
El preanalisis de virustotal de dichos ficheros, ofrece este informe:
Sobre el NETHOST.SYS:
MD5 e33f2db4c4bcf6d92db4dc3db8f16e21
SHA1 51bfae13c1355510af42a63fb67e31e49cd9e72b
Tamaño del fichero 39.0 KB ( 39936 bytes )
SHA256: f05c38f0e850a4abc366eae86654074c9ddb80925f2cf8c0ebf8a98b0474479d
Nombre: nethost.sys
Detecciones: 38 / 51
Fecha de análisis: 2014-04-09 15:43:07 UTC ( hace 0 minutos )
0 2
Antivirus Resultado Actualización
AVG BackDoor.Generic17.AGCA 20140409
Ad-Aware Trojan.GenericKDV.1125057 20140409
Agnitum Rootkit.BlackEnergy!IQV+NJ2mnaU 20140409
AntiVir TR/Rogue.1125057 20140409
Avast Win32:Rootkit-gen [Rtk] 20140409
Baidu-International Trojan.Win32.Rootkit.AJ 20140409
BitDefender Trojan.GenericKDV.1125057 20140409
Bkav W32.BeodeiLTAT.Trojan 20140408
CAT-QuickHeal Trojan.ZAccess.gen.cw4 20140409
Comodo UnclassifiedMalware 20140409
DrWeb Trojan.NtRootKit.16541 20140409
ESET-NOD32 Win32/Rootkit.BlackEnergy.AA 20140409
Emsisoft Trojan.GenericKDV.1125057 (B) 20140409
F-Secure Trojan.GenericKDV.1125057 20140409
Fortinet W32/ZAccess.DAK!tr 20140409
GData Trojan.GenericKDV.1125057 20140409
Ikarus Trojan.SuspectCRC 20140409
K7AntiVirus Riskware ( 0040eff71 ) 20140409
K7GW Riskware ( 0040eff71 ) 20140409
Kaspersky Rootkit.Win32.Agent.diom 20140409
Kingsoft Win32.Troj.GenericKDV.v.(kcloud) 20140409
Malwarebytes Trojan.Agent 20140409
McAfee RDN/Generic.dx!cqf 20140409
McAfee-GW-Edition RDN/Generic.dx!cqf 20140409
MicroWorld-eScan Trojan.GenericKDV.1125057 20140409
Norman Troj_Generic.NGEBA 20140409
Panda Trj/WLT.A 20140409
Qihoo-360 Win32/Trojan.4ea 20140409
Sophos Mal/Generic-S 20140409
Symantec Trojan Horse 20140409
TheHacker Trojan/BlackEnergy.aa 20140408
TotalDefense Win32/ZAccess.AFW 20140409
TrendMicro RTKT_BENERGY.A 20140409
TrendMicro-HouseCall RTKT_BENERGY.A 20140409
VBA32 Rootkit.Agent 20140409
VIPRE Trojan.Win32.Generic!BT 20140409
ViRobot Trojan.Win32.U.RT-Agent.39936 20140409
nProtect Trojan.GenericKDV.1125057 20140409
Y el .EXE de nombre variable, el que nos ha generado en esta ocasion ha sido:
MD5 3e867318330d44aee4b7803df6a5dd4b
SHA1 fe86dc67011d29387b70e024a76515f39054b709
Tamaño del fichero 191.0 KB ( 195584 bytes )
SHA256: b948afcdaa857664af5c74a5f904bcede4d5b91ae717d3a408746c12d9a709be
Nombre: 1347138200.exe
Detecciones: 16 / 50
Fecha de análisis: 2014-04-09 15:47:40 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
AVG SHeur4.BTKV 20140409
Ad-Aware Trojan.GenericKD.1635863 20140409
AntiVir TR/Crypt.Xpack.37531 20140409
Avast Win32:Malware-gen 20140409
Baidu-International Trojan.Win32.Kryptik.BZGX 20140409
BitDefendery Trojan.GenericKD.1635863 20140409
Bkav HW32.CDB.3af3 20140408
ESET-NOD32 a variant of Win32/Kryptik.BZJG 20140409
Emsisoft Trojan.GenericKD.1635863 (B) 20140409
F-Secure Trojan.GenericKD.1635863 20140409
Fortinet W32/Kryptik.BZGX!tr 20140409
GData Trojan.GenericKD.1635863 20140409
Malwarebytes Trojan.ICS 20140409
MicroWorld-eScan Trojan.GenericKD.1635863 20140409
TrendMicro-HouseCall TROJ_GEN.F47V0409 20140409
VIPRE Trojan.Win32.Zbot.ck (v) 20140409
Dicha version del ELISTARA 29.76 que lo detecta y elimina, estara disponible a partir de las 19 h CEST de hoy.
saludos
ms, 9-4-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.