| |||
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
www.satinfo.es |
Acabamos de recibir un “dropper” infector que infecta ficheros .EXE y .DLL, aparte de propagarse a otros sistemas por infectar dispositivos de almacenamiento USB como pendrives, unidades extraíbles, etc.
Inicialmente McAfee detecta como Generic-Dx al “padre” de la criatura, de nombre WATERMARK.EXE el cual pasamos a controlar a partir del ELISTARA 22.08 de hoy como RAMNIT.A, el mismo nombre del virus con el que infecta por acción directa a los ficheros .EXE y .DLL (va infectando sin ni siquiera ejecutarlos) que tiene previsto (de sistema y otros que no lo son)
A los ficheros .EXE infectados McAfee los reconoce con el W32/RAMNIT.A, pero de momento no los limpia, sino que les cambia la extensión a .VXE para que no sean ejecutables, y si son del sistema, desde DLLCACHE son repuestos por los originales.
Pero
otros ficheros que el sistema no haya hecho copia en DLLCACHE deberán reponerse
del original o copia de seguridad, ya que de momento el antivirus no los limpia.
Síntomas:
Cuando se ejecuta un fichero que haya sido infectado, se genera el dropper con el nombre del fichero ejecutado añadiéndole MGR antes del EXE , así por ejemplo de un FICHERO.EXE crea otro FICHEROMGR.EXE con el dropper como contenido.
Hemos enviado a McAfee muestra de todos los ficheros, para que traten de
limpiarlos en una próxima versión.
Eliminación:
De momento nosotros, a partir del ELISTARA 22.08 de hoy, hemos implementado la detección y eliminación del dropper, así como del fichero ejecutable (de nombre variable) creado en los dispositivos de almacenamiento USB como pendrives, discos duros, etc. y en tal caso, del AUTORUN.INF que lo lance.
MUY IMPORTANTE: para eliminar este dropper, el ELISTARA debe ejecutarse iniciando el sistema en en “Modo seguro”, pues si el malware está en proceso, no se puede detener.
Para que el malware funcione requiere la librería “MSVCR71.DLL” (Microsoft C Runtime Library), por lo cual una manera de bloquear su acción temporalmente es la de cambiar el nombre a dicha librería, por ejemplo por MSVCR71.DLL.OJO y tras reiniciar no se ejecutará dicho malware.
Nota: una vez eliminado el virus, si se ha renombrado la librería MSVCR71.DLL, renombrarla otra vez a su nombre original.
Existe un fichero .CPL que aparece en los dispositivos de almacenamiento USB infectados, si bien al ser de nombre variable y variar 8 bytes de su contenido en cada infección, como sea que el AUTORUN.INF sólo llama al ejecutable, y tanto este como el AUTORUN los detectamos y eliminamos con el ELISTARA >22.08, el CPL lo ignoramos por entender que debe ser usado por el .EXE y al eliminar éste, ya no se usa dicho .CPL, lo indicamos por que si se observa que ha sido creado, se elimine sin reparos.
Dicho CPL además es poco controlado, posiblemente sin mayor interés:
File
name: BXmhloVq.cpl
Submission date: 2010-11-24 09:52:22 (UTC)
Current status: finished
Result: 7 /43 (16.3%)
VT Community
not
reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.24.00 2010.11.23 -
AntiVir 7.10.14.82 2010.11.23 -
Antiy-AVL 2.0.3.7 2010.11.24
-
Avast 4.8.1351.0 2010.11.24 -
Avast5 5.0.594.0 2010.11.24 -
VG 9.0.0.851 2010.11.24 Generic20.GJD
BitDefender 7.2 2010.11.24 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.24 -
Command 5.2.11.5 2010.11.24 -
Comodo 6829 2010.11.24 -
DrWeb 5.0.2.03300 2010.11.23 -
Emsisoft 5.0.0.50 2010.11.24 Trojan.Win32.Ramnit!IK
eSafe 7.0.17.0 2010.11.23 -
eTrust-Vet 36.1.7997 2010.11.24 -
F-Prot 4.6.2.117 2010.11.23 -
F-Secure 9.0.16160.0 2010.11.24 -
Fortinet 4.2.254.0 2010.11.23 -
GData 21 2010.11.24 -
Ikarus T3.1.1.90.0 2010.11.24 Trojan.Win32.Ramnit
Jiangmin 13.0.900 2010.11.20 -
K7AntiVirus 9.68.3065 2010.11.24 -
Kaspersky 7.0.0.125 2010.11.24 -
McAfee 5.400.0.1158 2010.11.24 -
McAfee-GW-Edition 2010.1C 2010.11.24 -
Microsoft 1.6402 2010.11.24 Trojan:Win32/Ramnit.C
NOD32 5643 2010.11.23 Win32/Ramnit.F
Norman 6.06.10 2010.11.24 -
nProtect 2010-11-24.01 2010.11.24 -
Panda 10.0.2.7 2010.11.23 -
PCTools 7.0.3.5 2010.11.24 -
Prevx 3.0 2010.11.24 -
Rising 22.75.01.05 2010.11.24 -
Sophos 4.59.0 2010.11.24 W32/Patched-I
SUPERAntiSpyware 4.40.0.1006 2010.11.24 -
Symantec 20101.2.0.161 2010.11.24 -
TheHacker 6.7.0.1.089 2010.11.23 -
TrendMicro 9.120.0.1004 2010.11.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.24 -
VBA32 3.12.14.2 2010.11.23 -
VIPRE 7395 2010.11.24 -
ViRobot 2010.11.20.4158 2010.11.24 -
VirusBuster 13.6.56.0 2010.11.23 Trojan.Ramnit!iQNQL6zS3w0
Additional informationShow all
MD5 : fb807e718474a21af31816ff801ed207
SHA1 : e97a1ceb4fd5acfbec708ea1db20a98bf7614294
File size : 3584 bytes
Si fuera preciso, ya haríamos que el ELISTARA lo eliminara, pues hemos observado que los 8 bytes cambiantes son justamente el nombre del .EXE creado en dicho dispositivo de almacenamiento USB, siempre diferente, pero de entrada no lo creemos necesario.
Recomendamos, como siempre, vacunar ordenadores y dispositivos de almacenamiento USB como pendrives, memorias, etc., con nuestra utilidad ELIPEN, para evitar la propagación de malwares por dicho medio
Pulse aquí para descargar ELIPEN
Pulse aquí para descargar ELISTARA
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 25 de Noviembre 2010