Nueva variante del BUBNIX que nadie detecta cuando está en uso y que ni arrancando en Consola de Recuperacion se puede tocar (copiar, borrar, mover, renombrar...)msc hotline sat Tuesday, May 25, 2010 Pues mas difícil todavía ! Ya hemos dicho en noticias anteriores que uno de los BOTNET que mas nos preocupan es la familia del BUBNIX, por sus especiales características de imposibilidad de ser accedido cuando está en uso, pero hasta ahora lo conseguíamos arrancando en Consola de Recuperación... Pues hoy nos está mareando una nueva variante que ni asi lo podemos renombrar, inicialmente se llama dnscly.sys, pero este debe ser un nombre variable como es costumbre usan los de dicha familia, por lo que poco nos ayuda al no poder ni buscarlo por nombre ni por cadenas, ya que no se deja ni leer, (ni copiar, ni renombrar, ni borrar, claro) Cuando gracias al SPROCES 4.6B o superior pidamos que se renombre a .VIR un sispechoso al respecto, y no se pueda ni arrancando en Consola de Recuperacion, hacerlo colocando el disco duro como esclavo de otra unidad limpia, y arrancando con el Master, se podrá acceder al esclavo y renombrar dicho fichero, añadiendo .VIR a su extension, y muy importante, enviarnoslo para analizar y controlar, y asi ver qué mas se trae entre manos. Con ello ya se habrá aparcado el problema y a continuacion puede que incluso los antivirus detecten ya dicho BUBNIX, al no estar en uso, pero sin saber a priori cual es y haberlo renombrado segun indicado, es una asignatura pendiente para ellos. Afortunadamente, mano a mano con experimentados colaboradores que siguen nuestras indicaciones e incluso tienen iniciativas propias dignas de tener en cuenta, vamos salvando los escollos, cada día mas difíciles, como este, el cual puede que sea la causa del envio de cientos de miles de spam diarios sin conocimiento del usuario "zombie" afectado. Cuando se presente una anomalía como la de Fake AV, Spam, trafico anormal en el router, etc y con el ELISTARA no se detecte nada anormal ni pida envio de muestras para analizar, enviarnos el log del SPROCES.EXE (comprobar que sea version 4.6 B o superior) y veremos si hay algo nuevo conocido o desconocido, ya que estamos ante una constante proliferación de nuevas variantes de malwares que usan métodos atípicos lo cuales hemos de ir descubriendo y controlando saludos ms, 25-5-2010 ANEXO: CASI TODOS LO DETECTAN CUANDO NO ESTA EN USO... File dnscly.sys.vir received on 2010.05.25 16:29:15 (UTC) Result: 39/41 (95.13%) Antivirus Version Last Update Result a-squared 4.5.0.50 2010.05.10 Rootkit.Win32.Agent!IK AhnLab-V3 2010.05.25.05 2010.05.25 Win-Trojan/Rootkit.823808 AntiVir 8.2.1.242 2010.05.25 TR/Rootkit.Gen Antiy-AVL 2.0.3.7 2010.05.25 Trojan/Win32.Agent.gen Authentium 5.2.0.5 2010.05.25 W32/Rootkit.F.gen!Eldorado Avast 4.8.1351.0 2010.05.25 Win32:Qandr Avast5 5.0.332.0 2010.05.25 Win32:Qandr AVG 9.0.0.787 2010.05.25 Rootkit-Agent.EG BitDefender 7.2 2010.05.25 Rootkit.34459 CAT-QuickHeal 10.00 2010.05.25 Rootkit.Agent.bert ClamAV 0.96.0.3-git 2010.05.25 - Comodo 4941 2010.05.25 TrojWare.Win32.Rootkit.Agent.bert DrWeb 5.0.2.03300 2010.05.25 Trojan.NtRootKit.6929 eSafe 7.0.17.0 2010.05.25 Win32.TRRootkit eTrust-Vet 35.2.7508 2010.05.25 Win32/Bubnix.F F-Prot 4.6.0.103 2010.05.24 W32/Rootkit.F.gen!Eldorado F-Secure 9.0.15370.0 2010.05.25 Rootkit.34459 Fortinet 4.1.133.0 2010.05.25 W32/SysPk.A!tr.rkit GData 21 2010.05.25 Rootkit.34459 Ikarus T3.1.1.84.0 2010.05.25 Rootkit.Win32.Agent Jiangmin 13.0.900 2010.05.24 Rootkit.Agent.hgh Kaspersky 7.0.0.125 2010.05.25 Rootkit.Win32.Agent.bert McAfee 5.400.0.1158 2010.05.25 Generic.dx!prm McAfee-GW-Edition 2010.1 2010.05.25 Generic.dx!prm Microsoft 1.5802 2010.05.25 Trojan:WinNT/Bubnix.gen!A NOD32 5144 2010.05.25 Win32/Bubnix.AO Norman 6.04.12 2010.05.25 Rootkit.BUWH nProtect 2010-05-25.01 2010.05.25 Trojan/W32.Agent.823808.G Panda 10.0.2.7 2010.05.25 Rootkit/Agent.NMS PCTools 7.0.3.5 2010.05.25 Hacktool.Rootkit Prevx 3.0 2010.05.25 - Rising 22.49.01.04 2010.05.25 Trojan.Win32.Generic.51FD4740 Sophos 4.53.0 2010.05.25 Troj/Agent-MWC Sunbelt 6353 2010.05.25 Trojan.Win32.Generic!BT Symantec 20101.1.0.89 2010.05.25 Hacktool.Rootkit TheHacker 6.5.2.0.287 2010.05.25 Trojan/Agent.bert TrendMicro 9.120.0.1004 2010.05.25 RTKT_AGENT.AUYL TrendMicro-HouseCall 9.120.0.1004 2010.05.25 RTKT_AGENT.AUYL VBA32 3.12.12.5 2010.05.25 Rootkit.Win32.Agent.bert ViRobot 2010.5.20.2326 2010.05.25 Spyware.Agent.RootKit.823808 VirusBuster 5.0.27.0 2010.05.25 Rootkit.Agent.URTH Additional information File size: 823808 bytes MD5...: 80c6af4f948d4168fc90da1a6f4b6924 SHA1..: 5c44387aa00c41383ee5d58772934538119a8f74 ms. |
RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com |