NUEVA VARIANTE DE ALUREON, INFECTA EL MBR, pero puede utilizar técnicas de Rootkit

Publicado el 22 octubre 2013 ¬ 11:02 amh.mscComentarios desactivados en NUEVA VARIANTE DE ALUREON, INFECTA EL MBR, pero puede utilizar técnicas de Rootkit

A través de un fichero malware descargado por el downloader SOUNDER, este es autoejecutado e infecta el MBR del ordenador, tras lo cual borra el fichero en cuestión y permanece residente en cada reinicio del ordenador

La continuación del código vírico lo ubica en el Landing Zone del disco duro, a donde es redirigido desde el MBR infectado.

Lo malo es que utiliza tecnicas de RootKit, impidiendo aleatoriamnete acceder al MBR, lo cual si es el caso, lo cazaremos con el mismo ELISTARA o con el SPROCES, que nos indicarán que no se puede acceder a dicho sector MBR por utilizar tecnicas Sthealth, o bien si es accesible, lo detectaremos a partir del ELISTARA 28.61 de hoy, restaurando el MBR, además de controlar tambien el EXE que lo ocasiona, aunque normalmente éste se habrá autoborrado.

El preanalisis con virustotal del código del MBR, ofrece este informe:

SHA256: 95dc5cd6de938b6961a15cb5b309414332bdfc04b29d5e6387816a70bd32e4bd
SHA1: 1d847b71fd0056d6fad8d54d0192ebaea35e4529
MD5: 14407555d58a060105ce60a5cd241fb7
Tamaño: 512 bytes ( 512 bytes )
Nombre: MBR ALUREON
Tipo: unknown
Detecciones: 16 / 48
Fecha de análisis: 2013-10-22 08:45:24 UTC ( hace 0 minutos )

0 0 Más detalles Análisis File detail
Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20131021
AhnLab-V3  20131021
AntiVir  20131022
Antiy-AVL  20131022
Avast MBR:Olmarik-A [Rtk] 20131022
AVG  20131021
Baidu-International  20131022
BitDefender Rootkit.MBR.TDSS.I (Boot image) 20131012
Bkav  20131021
ByteHero  20131011
CAT-QuickHeal Bootkit.TDSS.TDL5 20131022
ClamAV  20131022
Commtouch  20131022
Comodo  20131022
DrWeb Trojan.Tdlphaze.21 20131022
Emsisoft Rootkit.MBR.TDSS.I (Boot image) (B) 20131022
ESET-NOD32 Win32/Olmarik.AYX 20131022
F-Prot  20131022
F-Secure Rootkit.MBR.TDSS.I \(Boot image\) 20131022
Fortinet BOOT/Harbinger.A!tr.rkit 20131022
GData Rootkit.MBR.TDSS.I 20131022
Ikarus  20131022
Jiangmin  20131022
K7AntiVirus  20131021
K7GW  20131021
Kaspersky Rootkit.Boot.Harbinger.a 20131022
Kingsoft  20130829
Malwarebytes  20131022
McAfee  20131022
McAfee-GW-Edition  20131022
Microsoft Trojan:DOS/Alureon.M 20131022
MicroWorld-eScan Rootkit.MBR.TDSS.I (Boot image) 20131022
NANO-Antivirus Trojan.Boot.Tdlphaze.bvpuxx 20131022
Norman Alureon.GAO 20131021
nProtect  20131022
Panda  20131021
PCTools  20131002
Rising  20131022
Sophos Troj/TdlMbr-B 20131022
SUPERAntiSpyware  20131022
Symantec  20131022
TheHacker  20131021
TotalDefense  20131021
TrendMicro  20131022
TrendMicro-HouseCall  20131022
VBA32  20131021
VIPRE Rootkit.MBR.Harbinger.a (v) 20131022
ViRobot  20131022

Dicha version del ELISTARA 28.61 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 22-10-2013

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies