Nueva variante NLS del SIMDA de los que ocultan el contenido real del ACPI.SYS con BACKDOOR SIMDA

---

Ya son mas de 20 las variantes de este malware NLS que conocemos, y si bien las primeras eran relativas al SIREFEF, las mas recientes afectan al BACKDOOR SIMDA, haciendo ver el ACPI.SYS original aun cuando se esté utilizando el del BACKDOOR SIMDA.



Estamos viendo que en varios casos que hemos tenido de PROXY EXI, tambien se había instalado el BACKDOOR SIMDA, si bien no es detectado si no se arranca con un BAR PE o colocando el disco infectado como esclavo, con lo que lanzando el ELISTARA se detecta dicho BACKDOOR SIMDA en el ACPI.SYS, que siempre mantiene el mismo codigo, aparte de los NLS en cuestion, si ya es una variante controlada, lo cual vemos que muy pocos antivirus lo detectan actualmente en esta variante (solo 3 de 43)



Editaremos hoy mismo una noticia al respecto de la gran probabilidad de tener oculto dicho BACKDOOR en los ordenadores en los que se ha detectado, y eliminado o no, el PROXY EXI



El preanalisis de virustotal ofrece este informe, con solo 3 detecciones !



Nombre Fichero : c_726519.nls



SHA256: d785f2212b5df975808f68bac01a18806e95cdb6c758fc8ee93a80982e82cbbc

SHA1: a305c42201905faa7c026e59a78eabd7815d4b1c

MD5: 0e7066123a927d2be646991ca6ecb19d

File size: 172.5 KB ( 176644 bytes )

File type: unknown

Detection ratio: 3 / 43

Analysis date: 2012-01-13 08:09:03 UTC ( 0 minutes ago )



00

Antivirus Result Version Update

AhnLab-V3 - 2012.01.12.02 20120112

AntiVir - 7.11.21.8 20120113

Antiy-AVL - 2.0.3.7 20120113

Avast Win32:RLoader-B 6.0.1289.0 20120112

AVG - 10.0.0.1190 20120113

BitDefender - 7.2 20120113

ByteHero - 1.0.0.1 20120111

CAT-QuickHeal - 12.00 20120113

ClamAV - 0.97.3.0 20120113

Commtouch - 5.3.2.6 20120113

Comodo - 11254 20120113

DrWeb - 5.0.2.03300 20120113

Emsisoft - 5.1.0.11 20120113

eSafe - 7.0.17.0 20120111

eTrust-Vet - 37.0.9679 20120113

F-Prot - 4.6.5.141 20120112

F-Secure Gen:Trojan.Heur.LP.bi5@ayhLBKc 9.0.16440.0 20120113

Fortinet - 4.3.388.0 20120113

GData - 22 20120113

Ikarus - T3.1.1.113.0 20120113

Jiangmin - 13.0.900 20120112

K7AntiVirus - 9.125.5916 20120111

Kaspersky - 9.0.0.837 20120113

McAfee - 5.400.0.1158 20120113

McAfee-GW-Edition Heuristic.BehavesLike.Exploit.CodeExec.FFCN 2010.1E 20120113

Microsoft - 1.7903 20120113

NOD32 - 6790 20120113

Norman - 6.07.13 20120112

nProtect - 2012-01-12.01 20120112

Panda - 10.0.3.5 20120112

PCTools - 8.0.0.5 20120113

Prevx - 3.0 20120113

Rising - 23.92.04.01 20120113

Sophos - 4.73.0 20120113

SUPERAntiSpyware - 4.40.0.1006 20120113

Symantec - 20111.2.0.82 20120113

TheHacker - 6.7.0.1.375 20120110

TrendMicro - 9.500.0.1008 20120113

TrendMicro-HouseCall - 9.500.0.1008 20120113

VBA32 - 3.12.16.4 20120112

VIPRE - 11390 20120113

ViRobot - 2012.1.13.4878 20120113

VirusBuster - 14.1.164.0 20120112





A partir del ELISTARA 24.64 ya controlamos esta variante, pero repetimos que solo es accesible y visible arrancando con otro medio, no con el disco duro infectado.



Recomendamos leer la Noticia de hoy sobre lo indicado del PROXI-EXI / BACKDOOR SIMDA



saludos



ms, 13-1-2012