Inicio de zonavirus, antivirus
zonavirus / noticias / variante de blackenergy oculto por un rootkit (blackenergy-2) -robapasswords y destruye información-

Variante de BlackEnergy oculto por un RootKit (BlackEnergy-2) -Robapasswords y destruye información-

msc hotline sat
Thursday, March 11, 2010
Esta variante del troyano BlackEnergy es una reescritura completa del troyano BlackEnergy original que se utilizó en el conflicto entre Rusia y Georgia en 2008.



En todos ellos actúa un rootkit que se encarga de ocultar partes del malware en el disco y en la memoria. El rootkit es también el responsable de inyectar una DLL en svchost.exe





La DLL principal es responsable de cargar y ejecutar varios plugins.



En el momento del análisis de los siguientes plugins que se han detectado han sido::







· DDoS - plugin para generar tráfico de denegación de servicios frente a un objetivo a través de TCP, UDP, ICMP y HTTP



· http - plugin para usar Internet Explorer saturando un objetivo con las solicitudes HTTP



· SYN, synflood - Plugin para saturar un objetivo con las peticiones TCP SYN.



· iBank, iBank a inyectar - Plugin para robar datos bancarios de los equipos infectados



· destruccion - plugin para inutilizar la máquina infectada por sobrescribir con datos aleatorios las unidades de disco duro fijo . Esto podría ser utilizado para evitar que los usuarios pudieran acceder a la banca en línea después de haber sido robados sus credenciales (contraseñas bancarias)



· spm_v1 - plugin para enviar spam (spambot)





Se supone que esta red de Botnet está controlada desde Rusia y Ucraina, como puede verse en la informacion en ingles original al respecto: http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=223101487





Se controla con el VirusScan de McAfee a partir de los DAT del VirusScan 5914 del ppdo lunes (8/3/2010) :





BlackEnergy





Type

Trojan

SubType

Dropper

Discovery Date

03/05/2010

Length

Minimum DAT

5914 (03/08/2010)

Updated DAT

5914 (03/08/2010)

Minimum Engine

5.4.00

Description Added

03/08/2010

Description Modified

03/08/2010 11:07 PM (PT)

http://vil.nai.com/vil/content/v_260171.htm Fuente



Como sea que destruye los datos del ordeandor, para evitar que el usuario "robado" pueda conectarse con el banco para avisar, podríamos decir aquello de "CORNUDO Y APALEADO", si se detecta, mas que desinfectarlo, ya que dado lo indicado se acabará por formatearlo, conviene saber lo que es y hace para informar al banco y evitar daños mayores !!!



saludos



ms, 11-3-2010

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / variante de blackenergy oculto por un rootkit (blackenergy-2) -robapasswords y destruye información-
© 1998-2026 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto