
	variante de blackenergy oculto por un rootkit (blackenergy-2) -robapasswords y destruye información-
		descargas \| descargas ayer

zonavirus / noticias / variante de blackenergy oculto por un rootkit (blackenergy-2) -robapasswords y destruye información-

Variante de BlackEnergy oculto por un RootKit (BlackEnergy-2) -Robapasswords y destruye información-

msc hotline sat

jueves, 11 de marzo de 2010

Esta variante del troyano BlackEnergy es una reescritura completa del troyano BlackEnergy original que se utilizó en el conflicto entre Rusia y Georgia en 2008.

En todos ellos actúa un rootkit que se encarga de ocultar partes del malware en el disco y en la memoria. El rootkit es también el responsable de inyectar una DLL en svchost.exe

La DLL principal es responsable de cargar y ejecutar varios plugins.

En el momento del análisis de los siguientes plugins que se han detectado han sido::

· DDoS - plugin para generar tráfico de denegación de servicios frente a un objetivo a través de TCP, UDP, ICMP y HTTP

· http - plugin para usar Internet Explorer saturando un objetivo con las solicitudes HTTP

· SYN, synflood - Plugin para saturar un objetivo con las peticiones TCP SYN.

· iBank, iBank a inyectar - Plugin para robar datos bancarios de los equipos infectados

· destruccion - plugin para inutilizar la máquina infectada por sobrescribir con datos aleatorios las unidades de disco duro fijo . Esto podría ser utilizado para evitar que los usuarios pudieran acceder a la banca en línea después de haber sido robados sus credenciales (contraseñas bancarias)

· spm_v1 - plugin para enviar spam (spambot)

Se supone que esta red de Botnet está controlada desde Rusia y Ucraina, como puede verse en la informacion en ingles original al respecto: http://www.darkreading.com/security/vul ... =223101487

Se controla con el VirusScan de McAfee a partir de los DAT del VirusScan 5914 del ppdo lunes (8/3/2010) :

BlackEnergy

Type
Trojan
SubType
Dropper
Discovery Date
03/05/2010
Length
Minimum DAT
5914 (03/08/2010)
Updated DAT
5914 (03/08/2010)
Minimum Engine
5.4.00
Description Added
03/08/2010
Description Modified
03/08/2010 11:07 PM (PT)
http://vil.nai.com/vil/content/v_260171.htm Fuente

Como sea que destruye los datos del ordeandor, para evitar que el usuario "robado" pueda conectarse con el banco para avisar, podríamos decir aquello de "CORNUDO Y APALEADO", si se detecta, mas que desinfectarlo, ya que dado lo indicado se acabará por formatearlo, conviene saber lo que es y hace para informar al banco y evitar daños mayores !!!

saludos

ms, 11-3-2010