NUEVA APARICION DE ROOTKIT SHUTDOWNER descargado por un downloader FAKEWRITE

Publicado el 20 enero 2014 ¬ 18:02 pmh.mscComentarios desactivados en NUEVA APARICION DE ROOTKIT SHUTDOWNER descargado por un downloader FAKEWRITE

Tras la descarga automática, se autoejecuta, queda residente y con Tecnicas RootKit oculta fichero y Servicio en cuestión

%WinSys%\ Drivers\ vmbbqh.sys

De hecho, este fichero aun no lo detecta actualmente ningun AV de virustotal:

El preanalisis ofrece este informe:

SHA256: e347327e0a5caa3787d556a300a0dd83a419fea1d438e6277b82927e5b781bb9
Nombre: vmbbqh.sys
Detecciones: 0 / 49
Fecha de análisis: 2014-01-20 10:32:31 UTC ( hace 6 horas, 2 minutos )
Arrancando en MODO SEGURO, a partir del ELISTARA 29.18 lo pasamos a controlar.

El EXE descargado, se autoejecuta y se borra tras hacer la tarea programada (instalar el servicio del .SYS en cuestion)

Dicho EXE si que lo controlan algunos AV, aunque se borra y desaparece, pero tambien  lo pasamos a controlar a partir del ELISTARA 28.18:

MD5 91b88b39a30cbc6e68844bf413ce4eb5
SHA1 037bd15226fbd5d74796ae8b2ba7463b8b15a06a
File size 542.6 KB ( 555651 bytes )
SHA256: f87229e48367e47b18c504c466efa5e9acd80b531c3fd21fdfc2c5ed637740e8
Nombre: 001f78ef.exe
Detecciones: 28 / 49
Fecha de análisis: 2014-01-20 16:41:04 UTC ( hace 0 minutos )

0 1

Antivirus  Resultado  Actualización
AVG  Inject2.PJG  20140120
Ad-Aware  Trojan.GenericKD.1505486  20140120
AhnLab-V3  Trojan/Win32.Generic  20140120
AntiVir  TR/Dropper.A.20103  20140120
Antiy-AVL  Trojan/Win32.Fsysna  20140120
Avast  Win32:Malware-gen  20140120
Baidu-International  Trojan.Win32.Injector.AVNP  20131213
BitDefender  Trojan.GenericKD.1505486  20140120
CMC  Packed.Win32.Zcrypt.3!O  20140115
ESET-NOD32  a variant of Win32/Injector.AVNP  20140120
Emsisoft  Trojan.GenericKD.1505486 (B)  20140120
F-Secure  Trojan.GenericKD.1505486  20140120
Fortinet  W32/Tepfer.AAX!tr.pws  20140120
GData  Trojan.GenericKD.1505486  20140120
Ikarus  Trojan.Inject2  20140120
Kaspersky  Trojan.Win32.Shutdowner.aeha  20140120
Kingsoft  Win32.PSWTroj.Fareit.an.(kcloud)  20130829
Malwarebytes  Spyware.Passwords.ED  20140120
McAfee  Artemis!91B88B39A30C  20140120
McAfee-GW-Edition  Heuristic.BehavesLike.Win32.Suspicious-BAY.G  20140120
MicroWorld-eScan  Trojan.GenericKD.1505486  20140120
Microsoft  VirTool:Win32/Injector.CL  20140120
Norman  Suspicious_Gen4.FQURC  20140120
Rising  PE:Trojan.Injector!1.9DEE  20140120
TotalDefense  Win32/Inject.C!generic  20140120
TrendMicro-HouseCall  TROJ_GEN.F47V0118  20140120
VIPRE  Trojan.Win32.Generic!BT  20140120
nProtect  Trojan.GenericKD.1505486  20140120

Dicha version del ELISTARA 28.18 que lo detecta y elimina, (EN MODO SEGURO) estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 20-1-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies