Nueva variante de SPY_ZBOT VZB, similar al SPY_ZBOT VZA

 

Una nueva variante de RootKit de la familia Buzus, muy similar al ya controlado como SPY-ZBOT VZA, pero esta vez con nombre variable, pasa a ser controlado a partir del ELISTARA 24.10 de hoy

El preanalisis de VirusTotal ofrece el siguiente informe:
File name: B8DEA5BB739.exe
Submission date: 2011-10-18 07:12:19 (UTC)
Current status: finished
Result: 23 /43 (53.5%)
VT Community

malware
Safety score: 0.0%
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.10.17.00 2011.10.17 Trojan/Win32.Agent
AntiVir 7.11.16.29 2011.10.17 –
Antiy-AVL 2.0.3.7 2011.10.18 –
Avast 6.0.1289.0 2011.10.18 Win32:Buterat-FG [Trj]
AVG 10.0.0.1190 2011.10.17 Generic25.AEVR
BitDefender 7.2 2011.10.18 –
ByteHero 1.0.0.1 2011.09.23 –
CAT-QuickHeal None 2011.10.18 –
ClamAV 0.97.0.0 2011.10.18 –
Commtouch 5.3.2.6 2011.10.18 –
Comodo 10482 2011.10.18 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.10.18 BackDoor.Butirat.26
Emsisoft 5.1.0.11 2011.10.18 Trojan.Win32.Buzus!IK
eSafe 7.0.17.0 2011.10.17 –
eTrust-Vet 36.1.8624 2011.10.17 –
F-Prot 4.6.5.141 2011.10.17 –
F-Secure 9.0.16440.0 2011.10.18 –
Fortinet 4.3.370.0 2011.10.18 W32/Yoddos.GG!tr
GData 22 2011.10.18 Win32:Buterat-FG
Ikarus T3.1.1.107.0 2011.10.18 Trojan.Win32.Buzus
Jiangmin 13.0.900 2011.10.17 Trojan/Buzus.ahbi
K7AntiVirus 9.115.5300 2011.10.17 Trojan
Kaspersky 9.0.0.837 2011.10.18 Trojan.Win32.Buzus.ivbl
McAfee 5.400.0.1158 2011.10.18 Artemis!26CADAE43FC3
McAfee-GW-Edition 2010.1D 2011.10.17 Artemis!26CADAE43FC3
Microsoft 1.7702 2011.10.18 Trojan:Win32/EyeStye.N
NOD32 6551 2011.10.18 a variant of Win32/Injector.JZB
Norman 6.07.11 2011.10.18 –
nProtect 2011-10-18.01 2011.10.18 –
Panda 10.0.3.5 2011.10.17 Trj/CI.A
PCTools 8.0.0.5 2011.10.18 Trojan.ADH
Prevx 3.0 2011.10.18 –
Rising 23.80.01.02 2011.10.18 –
Sophos 4.70.0 2011.10.18 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.10.18 –
Symantec 20111.2.0.82 2011.10.18 Trojan.ADH.2
TheHacker 6.7.0.1.325 2011.10.17 –
TrendMicro 9.500.0.1008 2011.10.18 TROJ_GEN.R42C1JH
TrendMicro-HouseCall 9.500.0.1008 2011.10.18 TROJ_GEN.R42C1JH
VBA32 3.12.16.4 2011.10.17 –
VIPRE 10796 2011.10.18 Trojan.Win32.Generic!BT
ViRobot 2011.10.18.4724 2011.10.18 –
VirusBuster 14.1.16.0 2011.10.17 –
Additional informationShow all
MD5   : 26cadae43fc3e452e35c6637ce230f12
SHA1  : 55d8136525bb1085404a45c82b91bd6373e3df12

File size : 176168 bytes
Como la variante anterior indicada, este SPY ZBOT_VZB

– Queda residente.
– Se autoborra.
– Con tecnicas RootKit
(oculta Proceso, carpeta, fichero y clave del registro)
– Periodicamente intenta conectar a Internet. ¿¿??
– Baja el Nivel de seguridad del Internet Explorer
– Provoca el tipico doble acento.
– la version VZA Ralentiza mucho el sistema.

y a diferencia del anterior  el nombre es variable:

C:\ $Recycle$\ <nombre variable>.exe (carpeta +h)

(En lugar de ver la carpeta “$Recycle$” el bicho muestra una carpeta
sin nombre. Al acceder a ella, nos muestra el contenido del ROOT
ciclicamente)
Se aconseja arrancar en MODO SEGURO PARA SU CONTROL Y ELIMINACION.

saludos

ms, 18-10-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies