Variante de virus RAMNIT, un bicho dificil de pelar !

El mismo usuario que nos envia muestra de un Conficker ya controlado por el actual ELITRIIP, en el fichero tipico JWGKVSQ.VMX, que caza heuristicamente el ELISTARA en todas sus variantes, nos envia tambien un bodrio de virus infector y rootkit y propagador via pendrive, en un fichero de nombre foynewhd.exe que tambien detecta heuristicamente el ELISTARA por estar lanzado en el user.ini, el cual resulta ser de la familia RAMNIT, de armas tomar.

Como caracteristicas especiales, cabe señalar:
– Queda residente. (3 procesos activos)
– NO permite arrancar en MODO SEGURO al eliminar las claves del SafeBoot
– El nombre de los Ficheros y del Valor varian según sistema.
– Las entradas del Registro se regeneran mientras está residente.
– usa Técnicas RootKit. Tras Iniciar el Sistema, son visibles los ficheros y Procesos. Al cabo de cierto tiempo, desaparecen los procesos visualizados como “SVCHOST.EXE y los ficheros en uso
– Es infector de EXEs (de acción directa)
– Modifica la cabecera y se añade al final del fichero anfitrión.
– Al Ejecutar un EXE infectado, genera y ejecuta en la misma ubicación un fichero sin extensión que es el propio malware

Es de armas tomar, y conviene eliminarlo colocando el disco duro como esclavo en otro ordenador, y arrancando con el Master, lanzar el antivirus sobre el esclavo, o bien arrancando con nuestro LIVE CD y tras actualizar DATS, lanzar el antivirus que contiene sonre el disco infectado.

El ELISTARA solo contempla su detección y la eliminacion del gusano, pero los ficheros infectados deben limpiarse con el antivirus que contemplen su limpieza, sin virus en memoria, claro, por ello procede arrancar con un medio limpio.
El preanalisis de virustotal ofrece el siguiente informe:

SHA256: f34e5af97ccb3574f7d5343246138daf979bfd1f9c37590e9a41f6420ddb3bb6
SHA1: 6c7e01278362797dabcff3e666b68227cb9af10f
MD5: fe36fb1073e6f8fa14d7250501a29aaf
Tamaño: 106.0 KB ( 108544 bytes )
Nombre: foynewhd.exe (UserInit).vir
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 43 / 45
Fecha de análisis: 2012-11-30 10:18:29 UTC ( hace 5 minutos )
Agnitum Trojan.Ramnit!cLbJ7UZPdfE 20121129
AhnLab-V3 Win-Trojan/Ramnit.108544 20121130
AntiVir TR/Dropper.Gen 20121130
Antiy-AVL – 20121130
Avast Win32:Kryptik-HRR [Trj] 20121130
AVG Generic21.BUA 20121130
BitDefender Trojan.Generic.KDV.124809 20121130
ByteHero – 20121129
CAT-QuickHeal Trojan.Ramnit.A 20121130
ClamAV Trojan.Kazy-816 20121129
Commtouch W32/Ramnit.K.gen!Eldorado 20121130
Comodo MalCrypt.Indus! 20121130
DrWeb Trojan.MulDrop1.64009 20121130
Emsisoft Trojan.Win32.Lebag.AMN (A) 20121130
eSafe Win32.TRDropper 20121128
ESET-NOD32 Win32/Ramnit.A 20121129
F-Prot W32/Ramnit.K.gen!Eldorado 20121130
F-Secure Trojan.Generic.KDV.124809 20121130
Fortinet W32/Lebag.CQN!tr 20121130
GData Trojan.Generic.KDV.124809 20121130
Ikarus Trojan-Dropper.Agent 20121130
Jiangmin Trojan/Lebag.kh 20121130
K7AntiVirus Trojan 20121129
Kaspersky Trojan.Win32.Lebag.akl 20121130
Kingsoft Win32.Troj.Lebag.(kcloud) 20121119
McAfee PWS-Zbot.gen.cy 20121130
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.K 20121130
Microsoft Trojan:Win32/Ramnit.D 20121130
MicroWorld-eScan Trojan.Generic.KDV.124809 20121130
NANO-Antivirus Trojan.Win32.Lebag.copfg 20121130
Norman W32/Ramnit.Q 20121130
nProtect Trojan/W32.Agent.108544.NC 20121129
Panda Trj/Spammer.AOA 20121129
PCTools Trojan.Gen 20121130
Rising Trojan.Win32.Generic.127AB12E 20121130
Sophos Troj/ZXC-G 20121130
SUPERAntiSpyware Trojan.Agent/Gen-FraudSoft 20121130
Symantec Trojan.Gen 20121130
TheHacker Trojan/Kryptik.klv 20121129
TotalDefense Win32/Cutwail.BOJ 20121129
TrendMicro TROJ_SPNR.06DQ12 20121130
TrendMicro-HouseCall TROJ_GEN.R4FH1DS 20121130
VBA32 Trojan.Agent2.lty 20121129
VIPRE Packed.Win32.PWSZbot.gen.cy (v) 20121130
ViRobot Trojan.Win32.A.Zbot.73216.B 20121130

El ELISTARA 26.65 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 30-11-2012