Publicado el 24 abril 2014 ¬ 11:52 amh.mscComentarios desactivados en DRIVER PROTECTOR DE SPYZBOT-Z QUE LLEGA EN MAIL MASIVO RUSO
A partir de ELISTARA 29.84 pasamos a controlar este driver protector, que trabaja al estilo de los del Cutwail, impidiendo ver y eliminar a su protegido De momento vemos conocemos estos drivers iguales con diferente nombre: 23c8b3af7e28e14d.sys 1876fa0672d6a21c.sys 19c4e0c.sys 13da0.sys.dr 2e3e5f53889e9dfe.sys 65742d1bbfd501ee.sys 121ea.sys.dr 740d6ffdce6da20e.sys ed190fbc477873bc.sys 12834.sys.dr El preanalisis de virustotal ofrece este informe: MD5 […]
Leer el resto de esta entrada »
Virus0c5ffe9d6aa399fbe82cd7b1775e23d7, 27efa819b645897fb4c1707a598ce4f9a6612dc6, 65742d1bbfd501ee.sys, Cutwail, elistara, Hacktool.Rootkit, Hider.YTT, RDN/Generic.dx!dbf, Rootkit-gen, Rootkit.Win32.Necurs.iy, TR/Spy.ZBot.lotp.4, Trojan.Necurs.DRV, Win32/TrojanDownloader.Necurs.A, WinNT/Necurs.A
Publicado el 10 abril 2014 ¬ 12:35 pmh.mscComentarios desactivados en NUEVA VARIANTE DE SPY ZBOT-Z, de los que provocan dobles acentos y se protegen son un driver como el CUTWAIL
Otra variante de la nueva gama de SPYZBOT-Z que se protege al igual que el CUTWAIL, con un driver que si no se elimina no se puede acabar con dicho SPYZBOT, llega en un mail anexando este “Ticket”, con extension .PIF (que windows no muestra) A partir del ELISTARA 29.77 de hoy, pasamos a controlar […]
Leer el resto de esta entrada »
Virus382d5950bf3b0e9ec647e50126370bda, 3a911d915ce088d673d71a1269d209ed95d7142f, 4bd6ae961238ebd9376dfbd89a6084a5, 794107a3fd1cee3566aa38dd4fd122d3ff53aabd, 9910fee3f371d3d7.sys, Artemis!4BD6AE961238, Backdoor.Necurs, Crypt3.IEJ, elistara, Malware-gen, pdf_aa_ticket.pif, RDN/Generic BackDoor!xs, Rootkit-gen, TR/Rootkit.Gen, Trojan.Mailer.ZB, Trojan.Necurs.DR, Trojan.Zbot, Win32/Spy.Zbot.AAU, Win32/TrojanDownloader.Necurs.H, Win32/Zbot, WinNT/Necurs.A
Publicado el 5 marzo 2014 ¬ 12:32 pmh.mscComentarios desactivados en NUEVA VARIANTE DE ROOTKIT CUTWAIL DESCARGADO POR UN DOWNLOADER VBNA
Otra variante de este conocido rootkit, que se protege a traves de un driver que tambien pasamos a analizar y controlar, pasamos a detectarlos a partir del ELISTARA 29.51 de hoy El preanalisis de virustotal sobre dichos ficheros, ofrece el siguiente informe: MD5 bd765ee8c8cbcb5645e2286899a0513e SHA1 21432d76a801d55ca34350788459d47af0b59221 Tamaño del fichero 198.5 KB ( 203264 bytes ) […]
Leer el resto de esta entrada »
Virus21432d76a801d55ca34350788459d47af0b59221, 4a5602e4a4b6d8cb.sys, 6ec82fff7ea28331557417e84a49b0b59c6b69353eefbd76fe1ceeea80e5d184, Artemis!BD765EE8C8CB, bd765ee8c8cbcb5645e2286899a0513e, elistara, Malware-gen, syshost.exe, TR/Crypt.Xpack.54851, TR/Rootkit.Gen, Trojan-Dropper.Win32.Necurs.tim, Trojan.Agent.ED, Win32/Rootkit.Kryptik.YC, Win32/TrojanDownloader.Necurs.B, WinNT/Necurs.A
Publicado el 28 febrero 2014 ¬ 9:42 amh.mscComentarios desactivados en NUEVA VARIANTE DE DRIVER PROTECTOR DEL CUTWAIL BD
Esta variante del driver .sys que protege al CUTWAIL e impide su detección y eliminación, pasa a ser cpontrolado a partir del ELISTARA 29.48 de hoy El preanalisis de virustotal ofrece este informe: MD5 d0655621120f17ecfd3787e6e3606f4f SHA1 e23eaaa07fc621bd94242001d4c69019c05f6641 Tamaño del fichero 59.0 KB ( 60416 bytes ) SHA256: 8b6824fad386dda152bcdbac45b5dde84116e4b97fca015f08b9c05b83b3b0cc Nombre: 6fe5d7e6ca46ae46.sys Detecciones: 31 / 50 Fecha […]
Leer el resto de esta entrada »
Virus6fe5d7e6ca46ae46.sys, Artemis!D0655621120F, Crypt3.KC, d0655621120f17ecfd3787e6e3606f4f, e23eaaa07fc621bd94242001d4c69019c05f6641, elistara, Hacktool.Rootkit, TR/Rootkit.Gen, Trj/Necurs.B, Trojan-Downloader.Win32.Agent.heav, Win32/TrojanDownloader.Necurs.A, WinNT/Necurs.A
Publicado el 21 febrero 2014 ¬ 12:27 pmh.mscComentarios desactivados en DRIVER PROTECTOR DEL ROOTKIT CUTWAIL, MUY POCO DETECTADO POR LOS ACTUALES AV (SOLO 3 DE 50)
Como ya se ha indicado otras veces, el CUTWAIL es un Rootkit que es protegido por un driver que, mientras está presente, no deja acceder a dicho malware y consecuenctemente ni se detecta ni se puede eliminar. Y en este caso empezamos porque en esta variante muy pocos AV lo controlan. A partir del ELISTARA […]
Leer el resto de esta entrada »
Publicado el 19 febrero 2014 ¬ 16:05 pmh.mscComentarios desactivados en NUEVA VARIANTE DE CUTWAIL BF Y CONTROL DEL DRIVER *.SYS QUE LO PROTEGE
Como ya es sabido de otras variantes de esta familia, el CUTWAIL es un Rootkit que es protegido por un driver que impide su detección y eliminacion, el cual se ha de eliminar para poder terminar con el dichoso rootkit. A partir del ELISTARA 29.40 dee hoy pasamos a controlar ambos ficheros de esta variante […]
Leer el resto de esta entrada »
Virus22546f32e63c54cb8fc4b3095ba0dc731a701d5f, 3850b7cbe63c374e722f7c8db99d5690, 977d6315f1de34a2.sys, cae827ac33dfbd6ab8c18864ee9fa37f37932808, elistara, f3e525250511af7cad540d812dbd7ac7, syshost.exe, TR/Rootkit.Gen, Trojan-Dropper.Win32.Necurs.tcm, Variant.Symmi.39061, Win32/Necurs, Win32/Rootkit.Kryptik.XZ, Win32/TrojanDownloader.Necurs.B, WinNT/Necurs.A
Publicado el 9 octubre 2012 ¬ 9:58 amh.mscComentarios desactivados en Analisis de nueva Variante de CUTWAIL, ejecutable y driver que lo protege
Como es sabido, el CUTWAIL es un Rootkit que se protege a traves de un fichero .SYS de unos 16 digitod hexadecimales que se oculta en la carpeta DRIVERS, y que hasta que no se elimina, no deja eliminar el EXE ejecutable, que es propiamente el virus. Recibidos los dos ficheros en cuestion, pasamos a […]
Leer el resto de esta entrada »
Virus075f1f21fd1dcf6c7f1144cc2e9fe3b6, 2dc1760ffefc9de3ba49a8373704aacf, 5dad01902d01d71ae0b86fb0a143f8db3fde1359, 75b3ffcdd014d639.sys, BackDoor.abd, c49401117b71f08a63fb23c8b259b17d42f9b40d, elistara, Rootkit.ak, Trj/Necurs.B, Trojan.Win32.Generic, Win32/Cutwail.BV, Win32/Kryptik.ALID, Win32/Rootkit.Kryptik.OP, WinNT/Necurs.A, zuneteznotno.exe
Publicado el 26 septiembre 2012 ¬ 14:41 pmh.mscComentarios desactivados en Nueva variante de Rootkit protector de CUTWAIL’s
Los CUTWAIL se protejen mediante un .SYS sito en la carpeta de DRIVERS, que impiden su eliminación. A partir de la version 26.21 del ELSTARA de hoy pasamos a controlar esta nueva variante de dichos .SYS El preanalisis de virustotal ofrece este informe: SHA256: 2bdf6d59fbf784932b6a2db218baa137e37480b126ea8c86b11b277c58c97a9d SHA1: c49401117b71f08a63fb23c8b259b17d42f9b40d MD5: 075f1f21fd1dcf6c7f1144cc2e9fe3b6 Tamaño: 69.0 KB ( 70656 bytes […]
Leer el resto de esta entrada »
Publicado el 11 abril 2012 ¬ 12:03 pmh.mscComentarios desactivados en Nueva variante del protector de los CUTWAIL.BE, esta vez de solo 15 digitos
Como es sabido, los CUTWAIL se protegen con un driver imborrable desde windows, que impide que se elimine dicho malware, si dicho driver está presente. Hasta ahora los conocidos tenían nombre de 16 digitos, pero el último que nos ha llegado hoy utiliza uno de 15 digitos, del que ofrecemos el preanalisis de virustotal: SHA256: […]
Leer el resto de esta entrada »
Publicado el 24 enero 2012 ¬ 16:25 pmh.mscComentarios desactivados en Sobre la eliminacion del CUTWAIL.BE, mas facil si se elimina el .SYS que lo proteje
El Cutwail.BE es un downloader que al instalarse o actualizarse se proteje con un driver que, mientras esté, impide eliminar el CUTWAIL de \Documents and Settings\… salvo que se arranque con otro medio, y como que no cuelga de windows, no puede utilizarse la Consola de Recuperacion para acceder al mismo (arrancando con el CD […]
Leer el resto de esta entrada »
Virus3e65e46098c6baf1.sys, 914ccb650670482392229b4dafb72552a288103d, Adware/XpHomeSecurity, BART PE, Cutwail, ed8a2b1018f0b3e846b088b7bbe51585, elistara, LIVE CD, PILITOS, PUP.z!iz, Win32/Rootkit.Agent.NVS, WinNT/Necurs.A
Publicado el 29 septiembre 2011 ¬ 15:52 pmh.mscComentarios desactivados en Variante de FAKE AV PERSONAL SHIELD PRO (polimorfico)
Nueva variante de este FAKE AV polimorfico que pasamos a controlar con ELISTARA 23.98 de hoy Impide ejecutar cualquier aplicacion (incluso el ELISTARA) popr lo que es preciso renombrarlo a EXPLORER.EXE, que asi si deja. El preanalisis del VirusTotal nos ofrece este informe, en el que se ve que solo lo detectan actualmente 5 […]
Leer el resto de esta entrada »
Publicado el 29 septiembre 2011 ¬ 15:00 pmh.mscComentarios desactivados en Nueva variante de FAKE AV, casi “intocable” … FAKE AV ADVANCED PCSHIELD 2012
Cada vez mas rocambolescos, este consiste en un EXE protegido por un servicio de un .SYS que se lanza incluso en MODO SEGURO, y que es creado por dicho EXE, lanzado desde un O4 RUN en cada reinicio. Pero dicho EXE es “intocable” si está lanzado dicho .SYS, el cual tampoco puede ni renombrarse, […]
Leer el resto de esta entrada »
Virus051e02c4fb169e2a6dd529ade0d44dc4d0857f5e, 2a5ab265504437e.exe, 320a174327f05a91 sys, 5ac8680b4eaf3997cac67b64ed634b2f157fc1ab, 5e35ffa5f91e098bb552a9ca185e3c3e, ADVANCED PCSHIELD 2012, Adware/ResDecA, ec44ddcec6418a6bcd83b02ae38f1b09, elistara, FakeAlert-SecurityTool.bt, Generic.dx!b2yj, Rootkit.Win32.Necurs.c, Trojan.Downloader.Agent.ABJS, Trojan.Necurs, Win32/Kryptik.TIJ, Win32/TrojanDownloader.Necurs.A, WinNT/Necurs.A