VARIANTE DE DORKBOT (ROOTKIT) QUE SE RECIBE EN MAIL CON FOTO DE CHICA PROVOCATIVA (VER IMAGEN)
Se recibe un mail con esta foto:
Imagen Photo-2008.jpeg.exe
to-022.jpg” width=”403″ height=”615″ />
Al ejecutar el fichero, visualiza la imagen de la chica y genera y ejecuta un DORKBOT :
%Datos de Programa%\x1.exe ——–> Worm.Dorkbot “8f23a26f(01).exe”
que permanece invisible cuando está en uso e infecta pendrives ocultando carpetas y creando links en su lugar, a fichero oculto en Recycler, que en la muestra analizada se llamaba 8f23a26f.exe
A partir del ELISTARA 27.65 pasamos a controlar especificamente esta nueva variante, tanto del dropper, como del rootkit y ficheros creados en pendrive.
Los preanalisis de virustotal de los ficheros en cuestion, reportan los siguientes informes:
DROPPER
SHA256: a0a072dad5af547484e98bdab6133100ca8ed6d1e1d1005b3958277de4da6d33
SHA1: 5071da8d22b8284029de847907c5153506cdf637
MD5: 9c0d163c0121ef135723a57330aa1a8a
Tamaño: 255.2 KB ( 261341 bytes )
Nombre: Photo-2008.jpeg.exe.VIR
Tipo: Win32 EXE
Detecciones: 11 / 46
Fecha de análisis: 2013-05-10 11:02:19 UTC ( hace 0 minutos )
0 0 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum 20130510
AhnLab-V3 20130509
AntiVir TR/Graftor.88007 20130510
Antiy-AVL 20130510
Avast Win32:Rootkit-gen [Rtk] 20130510
AVG 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero 20130510
CAT-QuickHeal 20130510
ClamAV 20130510
Commtouch 20130510
Comodo 20130510
DrWeb BackDoor.IRC.NgrBot.42 20130510
Emsisoft Backdoor.Win32.Ruskill.AMN (A) 20130510
eSafe 20130509
ESET-NOD32 20130510
F-Prot 20130510
F-Secure 20130510
Fortinet 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus 20130510
Jiangmin 20130510
K7AntiVirus 20130509
K7GW 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes 20130510
McAfee 20130510
McAfee-GW-Edition 20130510
Microsoft 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus 20130510
Norman 20130510
nProtect 20130510
Panda 20130510
PCTools 20130510
Sophos 20130510
SUPERAntiSpyware 20130510
Symantec WS.Reputation.1 20130510
TheHacker 20130509
TotalDefense 20130509
TrendMicro 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 20130510
VIPRE 20130510
ViRobot 20130510
ROOTKIT DORKBOT
SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: X1.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )
0 1 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum 20130510
AhnLab-V3 20130510
AntiVir 20130510
Antiy-AVL 20130510
Avast 20130510
AVG 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero 20130509
CAT-QuickHeal 20130510
ClamAV 20130510
Commtouch 20130510
Comodo 20130510
DrWeb 20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe 20130509
ESET-NOD32 20130510
F-Prot 20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus 20130510
Jiangmin 20130510
K7AntiVirus 20130509
K7GW 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes 20130510
McAfee 20130510
McAfee-GW-Edition 20130510
Microsoft 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus 20130510
Norman 20130510
nProtect 20130510
Panda 20130510
PCTools 20130510
Sophos 20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod[Cont] 20130510
Symantec WS.Reputation.1 20130510
TheHacker 20130509
TotalDefense 20130509
TrendMicro 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 20130510
VIPRE 20130510
ViRobot 20130510
DORKBOT EN PENDRIVE
SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: 8f23a26f.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )
0 1 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum 20130510
AhnLab-V3 20130510
AntiVir 20130510
Antiy-AVL 20130510
Avast 20130510
AVG 20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero 20130509
CAT-QuickHeal 20130510
ClamAV 20130510
Commtouch 20130510
Comodo 20130510
DrWeb 20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe 20130509
ESET-NOD32 20130510
F-Prot 20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet 20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus 20130510
Jiangmin 20130510
K7AntiVirus 20130509
K7GW 20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes 20130510
McAfee 20130510
McAfee-GW-Edition 20130510
Microsoft 20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus 20130510
Norman 20130510
nProtect 20130510
Panda 20130510
PCTools 20130510
Sophos 20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod[Cont] 20130510
Symantec WS.Reputation.1 20130510
TheHacker 20130509
TotalDefense 20130509
TrendMicro 20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32 20130510
VIPRE 20130510
ViRobot 20130510
Dicha version del ELISTARA 27.65 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy
saludos
ms, 10-5-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.