Nueva variante de BACKDOOR CYCBOT

Una nueva variante de este backdoor CYCBOT se instala en tres ficheros que se ubican en diferentes carpetas, y que son lanzados por diferentes claves:  DWM.EXE, CONHOST.EXE Y CSRSS.EXE

Lo pasamos a controlar a partir del ELITRIIP 7.60 de hoy

Modifica el proxy,  lo cual tambien es detectado por el ELITRIIP, y si se quiere eliminar dicha clave puede hacerse con el SPROCES -> SCAN.

El preanalisis de VirusTotal  ofrece este informe:

Result:
26 /43 (60.5%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.09.21.00     2011.09.21     Backdoor/Win32.Gbot
AntiVir     7.11.14.251     2011.09.21     –
Antiy-AVL     2.0.3.7     2011.09.21     Trojan/Win32.Jorik.gen
Avast     4.8.1351.0     2011.09.18     Win32:Cycbot-JU [Trj]
Avast5     5.0.677.0     2011.09.18     Win32:Cycbot-JU [Trj]
AVG     10.0.0.1190     2011.09.21     Win32/Cryptor
BitDefender     7.2     2011.09.21     Gen:Variant.Kazy.37947
ByteHero     1.0.0.1     2011.09.13     Trojan.Win32.Heur.Gen
CAT-QuickHeal     11.00     2011.09.21     –
ClamAV     0.97.0.0     2011.09.21     –
Commtouch     5.3.2.6     2011.09.21     –
Comodo     10185     2011.09.21     –
DrWeb     5.0.2.03300     2011.09.21     BackDoor.Gbot.69
Emsisoft     5.1.0.11     2011.09.21     Virus.Win32.Cryptor!IK
eSafe     7.0.17.0     2011.09.20     –
eTrust-Vet     36.1.8572     2011.09.20     Win32/FakeAlert.J!generic
F-Prot     4.6.2.117     2011.09.20     –
F-Secure     9.0.16440.0     2011.09.21     Gen:Variant.Kazy.37947
Fortinet     4.3.370.0     2011.09.21     W32/Gbot.ODL!tr.bdr
GData     22     2011.09.21     Gen:Variant.Kazy.37947
Ikarus     T3.1.1.107.0     2011.09.21     Virus.Win32.Cryptor
Jiangmin     13.0.900     2011.09.20     –
K7AntiVirus     9.113.5168     2011.09.20     –
Kaspersky     9.0.0.837     2011.09.21     HEUR:Trojan.Win32.Generic
McAfee     5.400.0.1158     2011.09.21     BackDoor-EXI.gen.p
McAfee-GW-Edition     2010.1D     2011.09.20     –
Microsoft     1.7604     2011.09.21     Backdoor:Win32/Cycbot.B
NOD32     6480     2011.09.21     a variant of Win32/Kryptik.SXV
Norman     6.07.11     2011.09.20     W32/Cycbot.EC
nProtect     2011-09-21.01     2011.09.21     Gen:Variant.Kazy.37947
Panda     10.0.3.5     2011.09.20     Suspicious file
PCTools     8.0.0.5     2011.09.21     –
Rising     23.76.02.02     2011.09.21     –
Sophos     4.69.0     2011.09.21     Mal/FakeAV-IS
SUPERAntiSpyware     4.40.0.1006     2011.09.21     Trojan.Agent/Gen-Kazy
Symantec     20111.2.0.82     2011.09.21     –
TheHacker     6.7.0.1.303     2011.09.21     –
TrendMicro     9.500.0.1008     2011.09.21     BKDR_CYCBOT.SME3
TrendMicro-HouseCall     9.500.0.1008     2011.09.21     BKDR_CYCBOT.SME3
VBA32     3.12.16.4     2011.09.20     –
VIPRE     10539     2011.09.21     Trojan.Win32.Generic!BT
ViRobot     2011.9.21.4680     2011.09.21     –
VirusBuster     14.0.223.0     2011.09.20     –
Additional information
MD5   : afe2223d4bb2d27b3016cbee1e33a88d
SHA1  : 393427cae27c44dfe285fe5328ddd9b6659a8b3e

File size : 180224 bytes

Dicha version del ELITRIIP 7.60 que lo detecta y elimina estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 21-9-2011