Estamos recibiendo periódicamente nuevas variantes de un malware conocido como DORKBOT, como el que indicábamos ayer en:
https://www.satinfo.es/blog/?p=15332
Sabemos que algunos han llegado en un mail con link a http://<interceptado>.com/fotos, que ofrece descarga de fichero malware de doble extensión, (Postal_De_Amor.swf.exe) , aparte de ofrecer descarga de fotos normales.
Ayer nos llegó dos de la misma familia, cuyo control y eliminación pasamos a implementar a partir del ELISTARA de hoy 23.16.
File name: Postal_De_Amor.swf.exe
Submission date: 2011-05-05 13:57:37 (UTC)
Result: 23/ 34 (67.6%)
VT Community not reviewed
Safety score: –
Compact Print results
Antivirus Version Last Update Result
AntiVir 7.11.7.156 2011.05.05 TR/Scar.dvjb
Antiy-AVL 2.0.3.7 2011.05.05 Trojan/Win32.Scar.gen
Avast 4.8.1351.0 2011.05.05 Win32:Malware-gen
Avast5 5.0.677.0 2011.05.05 Win32:Malware-gen
BitDefender 7.2 2011.05.05 Trojan.Generic.KDV.188431
CAT-QuickHeal 11.00 2011.05.05 –
ClamAV 0.97.0.0 2011.05.05 –
Commtouch 5.3.2.6 2011.05.05 –
Comodo 8589 2011.05.05 UnclassifiedMalware
eSafe 7.0.17.0 2011.05.05 Win32.Refroso.Agea
eTrust-Vet 36.1.8308 2011.05.05 –
F-Prot 4.6.2.117 2011.05.05 –
F-Secure 9.0.16440.0 2011.05.05 –
Fortinet 4.2.257.0 2011.05.05 W32/Refroso.AGEA!tr
GData 22 2011.05.05 Trojan.Generic.KDV.188431
Ikarus T3.1.1.103.0 2011.05.05 Trojan.Win32.Scar
Jiangmin 13.0.900 2011.05.05 Trojan/Scar.aaqz
K7AntiVirus 9.100.4563 2011.05.04 –
Kaspersky 9.0.0.837 2011.05.05 Trojan.Win32.Scar.dvjb
McAfee 5.400.0.1158 2011.05.05 Generic PWS.bfr!c
McAfee-GW-Edition 2010.1D 2011.05.05 Generic PWS.bfr!c
Microsoft 1.6802 2011.05.05 Worm:Win32/Dorkbot
NOD32 6097 2011.05.05 Win32/Dorkbot.A
Panda 10.0.3.5 2011.05.04 Generic Trojan
PCTools 7.0.3.5 2011.05.04 –
Rising 23.56.03.05 2011.05.05 Trojan.Win32.Generic.12862EF0
Sophos 4.65.0 2011.05.05 Troj/Mdrop-DKO
SUPERAntiSpyware 4.40.0.1006 2011.05.05 –
TheHacker 6.7.0.1.187 2011.05.05 Trojan/Scar.dvjb
TrendMicro 9.200.0.1012 2011.05.05 Cryp_VBWrap
VBA32 3.12.16.0 2011.05.05 –
VIPRE 9193 2011.05.04 Trojan.Win32.Generic!BT
ViRobot 2011.5.4.4446 2011.05.05 –
VirusBuster 13.6.337.0 2011.05.05 Trojan.Scar!MScsx8O9izs
Additional informationShow all
MD5 : 028754d118135122ea3bfcc7e2b2cf51
SHA1 : 7c21b9e19a9f10f96ab41ccc797331f4549ed65d
File size : 163840 bytes
publisher….: Reader Drive
copyright….: n/a
product……: CLICK CLACK TICK TACK
description..: n/a
original name: Systro3exe.exe
internal name: Systro3exe
file version.: 900.234
Como ya indicamos en las noticias anteriores de esta familia, se trata de un ROOTKit que afecta a los dispositivos de almacenamiento USB (pendrives, HD, memorias, etc), ocultando las carpetas existentes al ponerles atributo H y S, y dejando el icono de las mismas con un link a ellas, tras cargar el malware indicado.
Como sea que actualmente están apareciendo muestras que aun no son conocidas, es importante activar la heuristica avanzada del VirusScan a nivel ALTO, para que las detecte el motor ARTEMIS, mientras no sean conocidas específicamente.
Y como se indica en la noticia del blog arriba indicada, este virus no crea en los pendrives fichero AUTORUN.INF, sino que emplea técnica de ingeniería social para su ejecución por el mismo usuario, al crear en dicho pendrive iconos-links de las carpetas que encuentra y oculta, dichos links ejecutan el malware cuando se pulsa en el icono para acceder a la carpeta en cuestion, aunque luego se acceda a la carpeta indicada.
PROPAGACIÓN
Se recuerda que hay cuatro formas especiales (aparte de ejecución normal de un fichero infectado) de que los pendrives propaguen virus, que son:
- Creación en el dispositivo de almacenamiento USB del fichero AUTORUN.INF que lanza fichero malware al insertar el dispositivo en el USB (en ordenadores no protegidos con el ELIPEN)
- Creación en el dispositivo de almacenamiento USB del fichero ejecutable con icono de carpeta (el usuario lo ejecuta al querer entrar en dicha “carpeta”)
- Creación en el dispositivo de almacenamiento USB de ficheros con icono CTRL-LNK (estilo STUXNET) cuya visualización los autoejecuta, si no se tiene aplicado el correspondiente parche de Microsoft
- Creación en el dispositivo de almacenamiento USB de ficheros tipo PIF o LNK con icono de carpeta, en sustitución de las carpetas antes existentes, que el virus oculta y a las que se accede al pulsar doble click en dicho icono, tras cargar el virus en memoria.
ELIMINACIÓN
El ELISTARA detecta y elimina los ya conocidos, restableciendo las carpetas al quitarles el Atributo, pero si se ha sufrido la acción de esta familia y se ha eliminado el malware y queda sin poder ver los iconos de las carpetas ocultas, puede accederse a una ventana del DOS y ejecutar :
ATTRIB /S /D x:\*.* /S /D -s -h -r
siendo X: la unidad del dispositivo de almacenamiento USB afectada que se quiere restaurar (UNA VEZ ELIMINADO EL VIRUS)
Ante cualquier duda sobre el particular, rogamos nos consulten.
Pulse aquí para descargar ElistarA
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 06 de Mayo de 2011