SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA
|
|
| |
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
| www.satinfo.es | |||
Nombre de
virus: Buzus.Albs
(McAfee lo detecta como W32/Xirtem@MM y como VUNDO)
Riesgo Infección: Medio (Bajo, Medio,
Alto, Muy Alto)
Propagación: por correo electrónico masivo
y dispositivos USB
Activación: Por ejecución de fichero
adjunto al email
Detección:
desde DATS 5528
Motor necesario:
5.3.00
Infección actual:
Inicial (Inicial, Media, Elevada)
Esta semana se está empezando a recibir mails con falsos remitentes de IKEA y de Coca-Cola, ambos anexando fichero infectado cuya ejecución infecta al ordenador con el troyano BUZUS.ALBS, el cual además de propagarse por dispositivos de almacenamiento USB a otros ordenadores donde se conecten, si no están vacunados con el ELIPEN, generan una variante del CONHOOK, virus de la familia del VUNDO, resistente a ser eliminado si no se disponen de nuestras utilidades (EliStarA y EliNotif) y que es un downloader que descarga otros troyanos.
El primero es un mail de "IKEA" muy corto, con su logo y un fichero de instrucciones, aparentemente .DOC :
Falso
mail de IKEA :
ANEXO: "Ikea.zip" -> "Ikea.doc --- (70 espacios) ---> .scr" (es el malware !!!)
Ya es muy conocido el truco de la doble extensión, utilizado en este caso, pero a pesar de ello, con la "ingeniería social" aplicada, muchas veces consiguen engañar al usuario. Recuérdese que la última extensión es la que vale, pues la intermedia pasa a formar parte del nombre.
Falso mail de Coca-Cola :
Lo mismo en una segunda gama de mails esta vez con falso remitente de "CocaCola", en este caso ofreciendo trabajo:
ANEXO : "job-application-form.zip" -> "job-application-form.pdf ---(70 espacios)---> .scr" ( es el malware !!!)
Características
En la monitorización del mismo se ha visto que crea una copia de si mismo con atributos S, H, R en la carpeta de sistema con el nombre de JAVAJRE.EXE
Crea el fichero JAVAME.EXE, de 70 KB, también en la carpeta de sistema, que utiliza como Rootkit
Crea una librería en la misma carpeta de sistema, con el nombre DDCDWTTT.DLL que es un Downloader Conhook
Crea un fichero de procesamiento por lotes con el nombre BYXRKJCB.BAT en la carpeta temporal de windows, que utiliza para eliminar ficheros, y en las unidades de dispositivos de almacenamiento USB crea dos ficheros, igualmente con atributos S,H,R: el AUTORUN.INF y otra copia de si mismo con el nombre de REDMON.EXE en la siguiente ruta:
x:\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
donde x:\ es la unidad del dispositivo USB
Detección
Gracias al ELIMD5 pudimos controlar de entrada los ficheros iniciales de los mails y las copias que hacían, que son iguales en ambos casos, con los siguientes datos:
IKEA.DOC.SCR o job-application-form.pdf.SCR (PROPIAMENTE EL TROYANO)
Tamaño fichero 292352 bytes
MD5...: 5f5f56e9c478e83507e530f6821dd746
SHA1..: c159e563651398c48d39c0d48beb313eb6190c91
DDCDWTTT.DLL (VUNDO CONHOOK)
Tamaño fichero 37376 bytes
MD5...: 66ad118aac1b26c4a4780fbd515e5af4
SHA1..: eb9a0cde53839b08c06d63145387ec66757f8f54
REDMON.EXE (En los pendrives, idéntico al anexado al mail, una vez desempaquetado)
Tamaño fichero 292352 bytes
MD5...: 5f5f56e9c478e83507e530f6821dd746
SHA1..: c159e563651398c48d39c0d48beb313eb6190c91
McAfee ya los detecta actualmente como W32/Xirtem@MM y como VUNDO respectivamente, desde la versión de DAT 5528 y motor 5300
Eliminación
Con el actual EliStarA y EliNotif eliminamos lo creado por este engendro, y se recuerda que recomendamos vacunar con nuestra utilidad EliPen, tanto ordenadores como dispositivos de almacenamiento USB (pendrives, memorias SD, discos duros externos, etc) para evitar propagación de todos los virus a través de estos medios.
Pulse aquí para descargar EliStarA
Pulse aquí para descargar EliNotif
Pulse aquí para descargar EliPen
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 17 de Febrero de 2009