Nueva variante de DORKBOT, diferente de las conocidas hasta ahora

Una nueva muestra del DORKBOT que no solo afecta carpetas de pendrives, ocultandolas y creando links en su lugar, cargando el malware, sino que además crea AUTORUN.INF para infectar otros ordenadores al insertar dicho pendrive infectado, y que no se esconde tanto como el anterior, si bien el método de creación de links y ocultamiento de carpetas es rebuscado y si bien eliminamos el malware, el desocultar las carpetas deberá hacerse manual con un ATTRIB X:\*.* -s  -h  -r  /S /D , siendo X: la unidad de pendrive afectado, asi como eliminar los links del pendrive, inútiles cuando ya se haya eliminado dicho malware.

Cabe que la secuencia indicada, la implementemos en el ELISTARA cuando encontremos dicha infección, pero como sea que puede haber sido eliminado el malware por otros medios, como el mismo antivirus, mejor saber como recupera la visión de dichas carpetas cuando hayan sido ocultadas, después de eliminar el troyano, claro.

La muestra recibida la pasamos a controlar a partir del ELISTARA 24.36

El preanalisis ONLINE ofrece el siguiente informe:

 

Nombre Archivo :   SDZMZE.EXE.Muestra EliStartPage v24.35
Tamaño Archivo :   139264 byte
Tipo Archivo :   PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :   8affbe4aea375937ebaec452165c938f
SHA1 :   4ee1bc7007d6a85457f8f13df748b08567ef5a7c

Resultados :   58% Escaner (21/36) encontró infección
Tiempo :   2011/11/29 09:47:37 (CET)

Escaner Versión Motor Versión Firma Fecha Firma Resultados Tiempo
a-squared 5.1.0.4 20111129160346 2011-11-29 Worm.Win32.Phorpiex!IK 0.404
AhnLab V3 2011.11.29.00 2011.11.29 2011-11-29 Trojan/Win32.Buzus 9.092
AntiVir 8.2.6.120 7.11.18.114 2011-11-29 TR/Crypt.XPACK.Gen2 0.589
Antiy 2.0.18 20111129.14608594 2011-11-29 – 0.020
Arcavir 2011 201111281544 2011-11-28 – 3.432
Authentium 5.1.1 201111282339 2011-11-28 – 1.789
AVAST! 4.7.4 111128-2 2011-11-28 Win32:Muldrop-IV [Trj] 0.017
AVG 10.0.1405 2090/4045 2011-11-28 BackDoor.Generic14.BSQH 0.291
BitDefender 7.90123.7975669 7.39977 2011-11-29 Trojan.Generic.KD.408392 4.314
ClamAV 0.97.1 14016 2011-11-29 – 0.101
Comodo 5.1 10792 2011-11-28 UnclassifiedMalware 2.144
CP Secure 1.3.0.5 2011.11.26 2011-11-26 Troj.Downloader.W32.Agent.gwxc 0.134
Dr.Web 5.0.2.3300 2011.11.29 2011-11-29 Trojan.MulDrop3.12568 17.017
F-Prot 4.6.2.117 20111128 2011-11-28 – 0.831
F-Secure 7.02.73807 2011.11.29.01 2011-11-29 – 0.295
Fortinet 4.2.257 14.410 2011-11-28 – 0.186
GData 22.2878 20111127 2011-11-27 Trojan.Generic.KD.408392 [Engine:A] 10.915
Ikarus T3.1.32.20.0 2011.11.29.79899 2011-11-29 Worm.Win32.Phorpiex 4.992
JiangMin 13.0.900 2011.11.26 2011-11-26 DangerousObject.Multi.dwb 3.321
Kaspersky 5.5.10 2011.11.29 2011-11-29 – 0.188
KingSoft 2009.2.5.15 2011.11.29.9 2011-11-29 – 1.515
McAfee 5400.1158 6544 2011-11-28 BackDoor-FCM 18.527
Microsoft 1.7801 2011.11.29 2011-11-29 Worm:Win32/Phorpiex.B 7.351
NOD32 3.0.21 6657 2011-11-24 a variant of Win32/Injector.KSW trojan 0.033
nProtect 20111129.01 11812045 2011-11-29 Trojan.Generic.KD.408392 2.876
Panda 9.05.01 2011.11.27 2011-11-27 – 1.874
Quick Heal 11.00 2011.11.29 2011-11-29 – 1.961
Rising 20.0 23.86.00.01 2011-11-28 – 4.241
Sophos 3.25.1 4.71 2011-11-29 Mal/Generic-L 6.248
Sunbelt 3.9.2515.2 11157 2011-11-26 Trojan.Win32.Generic.pak!cobra 10.189
Symantec 1.3.0.24 20111128.002 2011-11-28 Trojan.Gen 0.077
The Hacker 6.7.0.1 v00350 2011-11-27 – 1.459
Trend Micro 9.500-1005 8.612.03 2011-11-28 TROJ_SPNR.09KO11 0.032
VBA32 3.12.16.4 20111128.1153 2011-11-28 BScope.Backdoor.Ruskill.1421 5.173
ViRobot 20111128 2011.11.28 2011-11-28 – 0.984
VirusBuster 5.4.0.10 14.1.89.0/6905513 2011-11-29 – 0.018
Por supuesto que para evitar la infección vía pendrive conviene vacunar ordenadores y pendrives con el ELIPEN, pero siempre cabe la infección por ingeniería social, al pulsar el usuario sobre el icono que antes tenía la carpeta, y que ahora será del link malicioso.

Dicha versión del ELISTARA 24.36 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms,29-11-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies