VARIANTE DE DORKBOT (ROOTKIT) QUE SE RECIBE EN MAIL CON FOTO DE CHICA PROVOCATIVA (VER IMAGEN)

Se recibe un mail con esta foto:

Imagen Photo-2008.jpeg.exe

to-022.jpg” width=”403″ height=”615″ />

Al ejecutar el fichero, visualiza la imagen de la chica y genera y ejecuta un DORKBOT :

%Datos de Programa%\x1.exe ——–> Worm.Dorkbot “8f23a26f(01).exe”

que permanece invisible cuando está en uso e infecta pendrives ocultando carpetas y creando links en su lugar, a fichero oculto en Recycler, que en la muestra analizada se llamaba 8f23a26f.exe

A partir del ELISTARA 27.65 pasamos a controlar especificamente esta nueva variante, tanto del dropper, como del rootkit y ficheros creados en pendrive.

Los preanalisis de virustotal de los ficheros en cuestion, reportan los siguientes informes:

DROPPER

SHA256: a0a072dad5af547484e98bdab6133100ca8ed6d1e1d1005b3958277de4da6d33
SHA1: 5071da8d22b8284029de847907c5153506cdf637
MD5: 9c0d163c0121ef135723a57330aa1a8a
Tamaño: 255.2 KB ( 261341 bytes )
Nombre: Photo-2008.jpeg.exe.VIR
Tipo: Win32 EXE
Detecciones: 11 / 46
Fecha de análisis: 2013-05-10 11:02:19 UTC ( hace 0 minutos )

0 0 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20130510
AhnLab-V3  20130509
AntiVir TR/Graftor.88007 20130510
Antiy-AVL  20130510
Avast Win32:Rootkit-gen [Rtk] 20130510
AVG  20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero  20130510
CAT-QuickHeal  20130510
ClamAV  20130510
Commtouch  20130510
Comodo  20130510
DrWeb BackDoor.IRC.NgrBot.42 20130510
Emsisoft Backdoor.Win32.Ruskill.AMN (A) 20130510
eSafe  20130509
ESET-NOD32  20130510
F-Prot  20130510
F-Secure  20130510
Fortinet  20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus  20130510
Jiangmin  20130510
K7AntiVirus  20130509
K7GW  20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes  20130510
McAfee  20130510
McAfee-GW-Edition  20130510
Microsoft  20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus  20130510
Norman  20130510
nProtect  20130510
Panda  20130510
PCTools  20130510
Sophos  20130510
SUPERAntiSpyware  20130510
Symantec WS.Reputation.1 20130510
TheHacker  20130509
TotalDefense  20130509
TrendMicro  20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32  20130510
VIPRE  20130510
ViRobot  20130510

ROOTKIT DORKBOT

SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: X1.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )

0 1 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20130510
AhnLab-V3  20130510
AntiVir  20130510
Antiy-AVL  20130510
Avast  20130510
AVG  20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero  20130509
CAT-QuickHeal  20130510
ClamAV  20130510
Commtouch  20130510
Comodo  20130510
DrWeb  20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe  20130509
ESET-NOD32  20130510
F-Prot  20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet  20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus  20130510
Jiangmin  20130510
K7AntiVirus  20130509
K7GW  20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes  20130510
McAfee  20130510
McAfee-GW-Edition  20130510
Microsoft  20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus  20130510
Norman  20130510
nProtect  20130510
Panda  20130510
PCTools  20130510
Sophos  20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod[Cont] 20130510
Symantec WS.Reputation.1 20130510
TheHacker  20130509
TotalDefense  20130509
TrendMicro  20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32  20130510
VIPRE  20130510
ViRobot  20130510

DORKBOT EN PENDRIVE

SHA256: 5e09f3b4d1d2d438399964123ed0aeaffd50d1265a67ae3cbb7ebcd8f6231215
SHA1: c3a86f245ee7811b3c9a652ae1330c014538fb55
MD5: 8e3869f7d9164aa2eaf2c85ad725df02
Tamaño: 158.8 KB ( 162640 bytes )
Nombre: 8f23a26f.exe
Tipo: Win32 EXE
Detecciones: 10 / 46
Fecha de análisis: 2013-05-10 11:09:00 UTC ( hace 0 minutos )

0 1 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20130510
AhnLab-V3  20130510
AntiVir  20130510
Antiy-AVL  20130510
Avast  20130510
AVG  20130510
BitDefender Gen:Variant.Graftor.88007 20130510
ByteHero  20130509
CAT-QuickHeal  20130510
ClamAV  20130510
Commtouch  20130510
Comodo  20130510
DrWeb  20130510
Emsisoft Gen:Variant.Graftor.88007 (B) 20130510
eSafe  20130509
ESET-NOD32  20130510
F-Prot  20130510
F-Secure Gen:Variant.Graftor.88007 20130510
Fortinet  20130510
GData Gen:Variant.Graftor.88007 20130510
Ikarus  20130510
Jiangmin  20130510
K7AntiVirus  20130509
K7GW  20130509
Kaspersky Backdoor.Win32.Ruskill.sfe 20130510
Kingsoft Win32.Hack.Ruskill.s.(kcloud) 20130506
Malwarebytes  20130510
McAfee  20130510
McAfee-GW-Edition  20130510
Microsoft  20130510
MicroWorld-eScan Gen:Variant.Graftor.88007 20130510
NANO-Antivirus  20130510
Norman  20130510
nProtect  20130510
Panda  20130510
PCTools  20130510
Sophos  20130510
SUPERAntiSpyware Trojan.Agent/Gen-Falprod[Cont] 20130510
Symantec WS.Reputation.1 20130510
TheHacker  20130509
TotalDefense  20130509
TrendMicro  20130510
TrendMicro-HouseCall TROJ_GEN.RC1H1EA 20130510
VBA32  20130510
VIPRE  20130510
ViRobot  20130510

Dicha version del ELISTARA 27.65 que lo detecta y elimina, estará disponible en nuestra web a partir de las 15 h CEST de hoy

saludos

ms, 10-5-2013