variante de RootKit ZBOT polimorfico que actualmente no es detectado casi por ningun antivirus
Dos variantes de un RootKit ZBOT detectadas por la heuristica del ELISTARA, casi no controladas por ningun antivirus(solo por 2) pasan a ser controladas especificamente A PARTIR del ELISTARA 21.69
Filename: YFZED.EXE.Muestra EliStartPage v21.68
Submission date: 2010-09-27 09:02:28 (UTC)
Current status: finished
Result: 2 /43 (4.7%)
VT Community
Kaspersky 7.0.0.125 2010.09.27 Trojan-Spy.Win32.Zbot.aphf
Prevx 3.0 2010.09.27 Medium Risk Malware
MD5 : f8bf942651b95e3e019ba60f4efb967f
SHA1 : 5988549e01a2fcbe367a7a4f7d3a458edfa50499
File size : 138752 bytes
sigcheck:
publisher….: XJmcug
copyright….: nWxQtPGu
product……: hgLsTOb
description..: FXAFBpgt
original name: sutK.exe
___________
yu este otro:
File name: APDA.EXE.Muestra EliStartPage v21.68
Submission date: 2010-09-27 08:56:38 (UTC)
Current status: finished
Result: 2 /43 (4.7%)
Kaspersky 7.0.0.125 2010.09.27 Trojan-Spy.Win32.Zbot.aphf
Prevx 3.0 2010.09.27 Medium Risk Malware
MD5 : a07fcacb80c227012dd7016795508571
SHA1 : 144968ef70a58b58dbcf4019fb0d0eb89e22fb47
File size : 138752 bytes
sigcheck:
publisher….: XJmcug
copyright….: nWxQtPGu
product……: hgLsTOb
description..: FXAFBpgt
original name: sutK.exe
Fijarse que aun siendo originalmente el mismo fichero, sutK.exe , el MD5 es diferente entre las dos muestras, por lo que entendemos que es polimorfico y va cambiando cada vez que infecta, razon por la que la inmensa mayoría de antivirus no lo detectan, aunque sí como sospechoso el ELISTARA, gracias a su detección heurística.
Ya de entrada con el ELISTARA actual es aparcado a C:\muestras, igual que las variantes del mismo que vayan apareciendo, de forma que en el siguiente arranque ya no incordiarán, pero es de temer que vayan expandiendose en ordenadores hasta que los antivirus no detecten el sistema de encriptación polimorfica que tienen.
Se envia muestra a McAfee indicándole los pormenores del caso para que puedan pasar a controlarlo.
saludos
ms, 27-9-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.