Nueva variante del BUBNIX que nadie detecta cuando está en uso y que ni arrancando en Consola de Recuperacion se puede tocar (copiar, borrar, mover, renombrar...)

---

Pues mas difícil todavía !



Ya hemos dicho en noticias anteriores que uno de los BOTNET que mas nos preocupan es la familia del BUBNIX, por sus especiales características de imposibilidad de ser accedido cuando está en uso, pero hasta ahora lo conseguíamos arrancando en Consola de Recuperación...



Pues hoy nos está mareando una nueva variante que ni asi lo podemos renombrar, inicialmente se llama dnscly.sys, pero este debe ser un nombre variable como es costumbre usan los de dicha familia, por lo que poco nos ayuda al no poder ni buscarlo por nombre ni por cadenas, ya que no se deja ni leer, (ni copiar, ni renombrar, ni borrar, claro)



Cuando gracias al SPROCES 4.6B o superior pidamos que se renombre a .VIR un sispechoso al respecto, y no se pueda ni arrancando en Consola de Recuperacion, hacerlo colocando el disco duro como esclavo de otra unidad limpia, y arrancando con el Master, se podrá acceder al esclavo y renombrar dicho fichero, añadiendo .VIR a su extension, y muy importante, enviarnoslo para analizar y controlar, y asi ver qué mas se trae entre manos.



Con ello ya se habrá aparcado el problema y a continuacion puede que incluso los antivirus detecten ya dicho BUBNIX, al no estar en uso, pero sin saber a priori cual es y haberlo renombrado segun indicado, es una asignatura pendiente para ellos.



Afortunadamente, mano a mano con experimentados colaboradores que siguen nuestras indicaciones e incluso tienen iniciativas propias dignas de tener en cuenta, vamos salvando los escollos, cada día mas difíciles, como este, el cual puede que sea la causa del envio de cientos de miles de spam diarios sin conocimiento del usuario "zombie" afectado.



Cuando se presente una anomalía como la de Fake AV, Spam, trafico anormal en el router, etc y con el ELISTARA no se detecte nada anormal ni pida envio de muestras para analizar, enviarnos el log del SPROCES.EXE (comprobar que sea version 4.6 B o superior) y veremos si hay algo nuevo conocido o desconocido, ya que estamos ante una constante proliferación de nuevas variantes de malwares que usan métodos atípicos lo cuales hemos de ir descubriendo y controlando



saludos



ms, 25-5-2010





ANEXO: CASI TODOS LO DETECTAN CUANDO NO ESTA EN USO...



File dnscly.sys.vir received on 2010.05.25 16:29:15 (UTC)



Result: 39/41 (95.13%)



Antivirus Version Last Update Result



a-squared 4.5.0.50 2010.05.10 Rootkit.Win32.Agent!IK

AhnLab-V3 2010.05.25.05 2010.05.25 Win-Trojan/Rootkit.823808

AntiVir 8.2.1.242 2010.05.25 TR/Rootkit.Gen

Antiy-AVL 2.0.3.7 2010.05.25 Trojan/Win32.Agent.gen

Authentium 5.2.0.5 2010.05.25 W32/Rootkit.F.gen!Eldorado

Avast 4.8.1351.0 2010.05.25 Win32:Qandr

Avast5 5.0.332.0 2010.05.25 Win32:Qandr

AVG 9.0.0.787 2010.05.25 Rootkit-Agent.EG

BitDefender 7.2 2010.05.25 Rootkit.34459

CAT-QuickHeal 10.00 2010.05.25 Rootkit.Agent.bert

ClamAV 0.96.0.3-git 2010.05.25 -

Comodo 4941 2010.05.25 TrojWare.Win32.Rootkit.Agent.bert

DrWeb 5.0.2.03300 2010.05.25 Trojan.NtRootKit.6929

eSafe 7.0.17.0 2010.05.25 Win32.TRRootkit

eTrust-Vet 35.2.7508 2010.05.25 Win32/Bubnix.F

F-Prot 4.6.0.103 2010.05.24 W32/Rootkit.F.gen!Eldorado

F-Secure 9.0.15370.0 2010.05.25 Rootkit.34459

Fortinet 4.1.133.0 2010.05.25 W32/SysPk.A!tr.rkit

GData 21 2010.05.25 Rootkit.34459

Ikarus T3.1.1.84.0 2010.05.25 Rootkit.Win32.Agent

Jiangmin 13.0.900 2010.05.24 Rootkit.Agent.hgh

Kaspersky 7.0.0.125 2010.05.25 Rootkit.Win32.Agent.bert

McAfee 5.400.0.1158 2010.05.25 Generic.dx!prm

McAfee-GW-Edition 2010.1 2010.05.25 Generic.dx!prm

Microsoft 1.5802 2010.05.25 Trojan:WinNT/Bubnix.gen!A

NOD32 5144 2010.05.25 Win32/Bubnix.AO

Norman 6.04.12 2010.05.25 Rootkit.BUWH

nProtect 2010-05-25.01 2010.05.25 Trojan/W32.Agent.823808.G

Panda 10.0.2.7 2010.05.25 Rootkit/Agent.NMS

PCTools 7.0.3.5 2010.05.25 Hacktool.Rootkit

Prevx 3.0 2010.05.25 -

Rising 22.49.01.04 2010.05.25 Trojan.Win32.Generic.51FD4740

Sophos 4.53.0 2010.05.25 Troj/Agent-MWC

Sunbelt 6353 2010.05.25 Trojan.Win32.Generic!BT

Symantec 20101.1.0.89 2010.05.25 Hacktool.Rootkit

TheHacker 6.5.2.0.287 2010.05.25 Trojan/Agent.bert

TrendMicro 9.120.0.1004 2010.05.25 RTKT_AGENT.AUYL

TrendMicro-HouseCall 9.120.0.1004 2010.05.25 RTKT_AGENT.AUYL

VBA32 3.12.12.5 2010.05.25 Rootkit.Win32.Agent.bert

ViRobot 2010.5.20.2326 2010.05.25 Spyware.Agent.RootKit.823808

VirusBuster 5.0.27.0 2010.05.25 Rootkit.Agent.URTH

Additional information

File size: 823808 bytes

MD5...: 80c6af4f948d4168fc90da1a6f4b6924

SHA1..: 5c44387aa00c41383ee5d58772934538119a8f74



ms.