Los BREDOLAB, temibles downloaders que descargan e instalan, entre otros malwares, los BUBNIX, rootkits de dificil detección y eliminación

---

Los Bredolab son downloaders que descargan de servidores web determinados, peligrosos malwares de alto nivel, y que una vez han ingresado en un ordenador, si bien el Bredolab es de normal detección y eliminación, una vez conocido, lo que descarga e instala puede ser de aupa...



Ya hemos tenido historias con Bredolabs que nos han instalado diferentes FAKE AV, RootKits en el MBR, como el cazapasswords SINOWAL, y sobre todo muchos RootKits de la familia ZBOT, muy de moda actualmente, como los SDRA64.EXE, de los que ya controlamos mas de 100 diferentes variantes que nos han llegado, y que con el ELISTARA + ELINOTIF vamos controlando, pero hay otra familia de menor difusión, tambien descargada por el Bredolab, que es de armas tomar, y se trata de los RootKit BUBNIX:



Estos RootKit BUBNIX no tienen una eliminación ni fácil ni automática, y si se sospecha de ellos o se detecta con algun antivirus que luego no puede eliminar, resumimos la manera de hacerlo, independientemente de su nombre (que es variable) y del servicio que lancen, si bien lo malo del caso es que mientras están activos impiden el acceso tanto de lectura como de escritura, por lo que, sin saber su nombre y no pudiendo explorar su contenido, mientras está activo solo nos cabe sospechar de él si se ha detectado y eliminado un Bredolab, y en tal caso mirar si existe un fichero .SYS reciente en la carpeta c:\windows\system32\drivers, de unos 700-900 KB, y si lo hay, ver si se deja renombrar , y si no se logra... Casi seguro que se trata de una variante de RootKit BUBNIX.



La media docena de muestras que tenemos de ellos, una vez renombrado el fichero a .VIR y reiniciado el ordenador, ya el ELISTARA los detecta, elimina los ficheros y los servicios, y soluciona el problema, pero lo malo es conseguir saber que se está infectado por cualquiera de sus variantes y proceder a reconocerlo y renombrar su extensión, para que no se ponga en marcha a partir del siguiente reinicio.



SI se sospecha de su existencia, por haber eliminado un Bredolab, por persistencia de anomalías y finalmente porhaber identificado el fichero en cuestión, como indicamos arriba, visto que no se deja renombrar normalmente, debe procederse a arrancar con el CD de instalación, acceder a la Cínsola de Recuperación, pulsando R, y una vez en dicho entorno acceder a la carpeta DRIVERS que cuelga de la de sistema, y en ella, con un REN, añadir a la extensión de dicho fichero la extensión .VIR, así por ejemplo



ren bobmhqy.sys bobmhqy.sys.vir siendo bobmhqy.sys una de los nombres usados por las variantes detectadas del BUBNIX



Tras ello, arrancando normal veremos que dicho fichero ya puede ser renombrado, al estar aparcado y no activo.



Si entonces el ELISTARA no lo detecta, conviene enviarnoslo para analizar y controlar en próximas versiones.



Y tras ello, una vez conocido y controlado , implementaremos en la siguiente versión del ELISTARA la detección y eliminación por cadenas, (si no está en uso ya que entonces no se dejaría inspeccionar ni eliminar) para, además del fichero ya renombrado a .VIR, elimine las claves de los servicios correspondientes.



Pero es una asignatura pendiente, ya que tener que llegar a sospechar de él sin detectarlo, y obrar conforme indicado para, si es el caso, renombrarlo, analizarlo y desenmascararlo... es sumamente engorroso.



Solo lo indico a nivel de que si alguien busca algo que no encuentra ni detecta nadie, mire entre dichos ficheros y haga la prueba ... y si es el caso, tras analizarlo, lo añadiremos a los existentes de dicha familia .



Si se ha tenido un Bredolab, vale la pena investigar lo indicado.