nueva variante de bagle.

[ShArKWhite]

Hola.





anoche a una máquina de un cliente le pase el elibagle y elistarA, el Elibagle me detecto unas 60 variantes de elibagle sin identificar por vuestra herramienta, os lo envie con archivo con contraseña y era para saber sí os ha llegado correctamente u os lo vuelvo a enviar



analicé un par de esos archivos en virustotal.com y 3 de 41 antivirus solo lo reconoce..



Un saludo.

[msc hotline sat]

Pues con su nick no hemos recibido nada (ShArKWhite)



Lo envió conforme se indica ???




[quote]
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253[/quote]

Por cierto que recuerdo que uno de los que hemos recibido, con unos 30 MB, irregular (sin nick) , no correspondía al password[u][b][i] virus [/i][/b][/u]que indicamos, por lo que se ha aparcado . Si por el tamaño puede ser el suyo, diganos el password con el que lo ha protegido ...



Pero si no es este, sepa que no lo hemos recibido, repita el envio siguiendo indicaciones, gracias.



saludos



ms, 25-11-2009

[ShArKWhite]

disculpa por no hacero según vuestro procedimiento, os lo envié un poco a la ligera y no recordé dicho procediento.



la contraseña es "patata" ( todo junto, en minúsculas y sin las comillas )



disculpa nuevamente por no seguir los pasos, no volverá a pasar, os lo envié para que tengais constancia de dichas variantes y saber un poco sobre estas nuevas variantes



Un saludo y gracias.

[msc hotline sat]

Y como querías que lo descomprimieramos con password "patata" ??? ...



Se lo digo a los tecnicos de I+D y ya se controlará a partir del ELIBAGLA de hoy 13.23


[quote]


[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 25-11-2009







NOTA: Y efectivamente, el ELIBAGLA tiene una heuristica muy potente que detecta posibles sospechosos cuando aun no los conoce casi ningun antivirus, como es su caso, en el que dice que solo lo detectan 3, (debe ser reciente)

[ShArKWhite]

No sé que compresor usais, pero veo que el Winrar no, este es el compresor que uso puse una nota en dicho archivo comprimido indicando la contraseña, es decir, sí lo abres con el winrar aparece como nota " password: patata "



Bueno de todas formas ya esta todo resuelto y que las nuevas variantes se implemente para en el Elibagle y podamos solucionar estos nuevos con vuestra herramienta.





¿sabrías decirme que hace exactamente el Bagle? es decir, a que ataca, que modificar, que descaga ...



Un saludo.

[msc hotline sat]

El sistema de desempaquetado es automatico con el password normalizado [b][i][u]virus[/u][/i][/b] , y excepcionalmente [b][i][u]virusvirus[/u][/i][/b] y [b][i][u]infected[/u][/i][/b] para los compresores que piden un minimo de 8 letras, pero comprenderás que no van a estar desempaquetando manualmente las cientos de muestras, y menos probando o aplicando palabras especiales que haya ideado el usuario ...



Analizadas las muestras, vemos_



El de la Muestra del Elistara es un NAVIPROMO, que pasamos a controlar con el ELISTARA 19.77 de hoy (solo detectado por 3 AV , Sophos, F´Prot y Authentium), y en cambio las muestras de Bagle ya son conocidas casi por todos, menos por Microsoft, E-Safe y Rising :



File 26dbf0320c73fc4b2fc69fd48db39524 received on 2009.02.05 02:00:31 (UTC)

Current status: finished



Result: 36/39 (92.31%)

Compact Print results Antivirus Version Last Update Result

a-squared 4.0.0.93 2009.02.05 Backdoor.Win32.Hupigon!IK

AhnLab-V3 5.0.0.2 2009.02.04 Win-Trojan/Hupigon.704004

AntiVir 7.9.0.74 2009.02.04 WORM/Bagle.Gen

Authentium 5.1.0.4 2009.02.04 W32/Backdoor2.BSCF

Avast 4.8.1281.0 2009.02.04 Win32:Rootkit-gen

AVG 8.0.0.229 2009.02.04 Generic_c.PDN

BitDefender 7.2 2009.02.05 Backdoor.Hupigon.43213

CAT-QuickHeal 10.00 2009.02.04 Backdoor.Hupigon.cjai

ClamAV 0.94.1 2009.02.04 Trojan.Hupigon-14363

Comodo 964 2009.02.04 Worm.Win32.Bagle.OV

DrWeb 4.44.0.09170 2009.02.05 Trojan.PWS.Kone.3

eSafe 7.0.17.0 2009.02.04 -

eTrust-Vet 31.6.6342 2009.02.05 Win32/SillyAutorun.IW

F-Prot 4.4.4.56 2009.02.04 W32/Backdoor2.BSCF

F-Secure 8.0.14470.0 2009.02.05 Backdoor.Win32.Hupigon.cjai

Fortinet 3.117.0.0 2009.02.04 W32/Packed.2D18!tr

GData 19 2009.02.05 Backdoor.Hupigon.43213

Ikarus T3.1.1.45.0 2009.02.05 Backdoor.Win32.Hupigon

K7AntiVirus 7.10.618 2009.02.04 Backdoor.Win32.Hupigon.cjai

Kaspersky 7.0.0.125 2009.02.05 Backdoor.Win32.Hupigon.cjai

McAfee 5516 2009.02.04 BackDoor-AWQ.b

McAfee+Artemis 5516 2009.02.04 BackDoor-AWQ.b

Microsoft 1.4306 2009.02.05 -

NOD32 3827 2009.02.04 Win32/Bagle.OV

Norman 6.00.02 2009.02.04 W32/Hupigon.DNBE

nProtect 2009.1.8.0 2009.02.04 Backdoor/W32.Hupigon.704004

Panda 9.5.1.2 2009.02.04 W32/Bagle.TB.worm

PCTools 4.4.2.0 2009.02.03 Packed/Themida

Prevx1 V2 2009.02.05 Worm

Rising 21.15.20.00 2009.02.04 -

SecureWeb-Gateway 6.7.6 2009.02.05 Worm.Bagle.Gen

Sophos 4.38.0 2009.02.05 Mal/Behav-285

Sunbelt 3.2.1835.2 2009.01.16 Backdoor.Win32.Hupigon.cjai

Symantec 10 2009.02.05 Trojan Horse

TheHacker 6.3.1.5.247 2009.02.05 Backdoor/Hupigon.cjai

TrendMicro 8.700.0.1004 2009.02.04 TROJ_BAGLE.TW

VBA32 3.12.8.12 2009.02.04 Win32.Bagle.OV

ViRobot 2009.2.4.1589 2009.02.04 Backdoor.Win32.Hupigon.704004

VirusBuster 4.5.11.0 2009.02.04 Backdoor.Hupigon.CDJE

Additional information

File size: 704004 bytes

MD5 : 26dbf0320c73fc4b2fc69fd48db39524

SHA1 : 495e333c85e9219e5d29da2cfb3ac0a592d25a8f



No sé el antivirus que usas, pero debiera haberlo controlado...



Y sobre el Bagle, es un Rootkit downloader que modifica claves de registro para que no se pueda arrancar en modo seguro, se actualiza constantemente de diferentes servidores , y ya es de antaño, pero sigue en boga (de hecho el ELIBAGLA es la utilidad mas usada despues del ELISTARA) y su sistema de ocultacion hace que las nuevas variantes no sean facilmente controladas, pero una vez conocido, como este tuyo, cualquier antivirus nromalillo debería haberlo pillado.



saludos



ms, 25-11-2009

[msc hotline sat]

Y aparte del Navipromo, que es la última muestra de la lista, los demas Bagle son de distintas variantes, como podrás ver por tamaño y especialmente por MD5, que es como los diferenciamos:



sMD5 v1.3b (c)2009 S.G.H. / Satinfo S.L.

(Creado en Noviembre del 2008)

Listado de MD5 (Message Digest Algorithm 5)

-------------------------------------------



Ficheros de: "S:\2009-11-25\ZonaVirus\Equipo de zonavirus2\Muestras"

"26DBF0320C73FC4B2FC69FD48DB39524" -> 100828.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 1017343.EXE.Muestra EliBagle v13.22 725516

"26DBF0320C73FC4B2FC69FD48DB39524" -> 102000.EXE.Muestra EliBagle v13.22 704004

"BD814F2717D4D42302E7771CED08CF15" -> 10202796.EXE.Muestra EliBagle v13.22 599411

"BC84948492E8C16825565F3981206FB9" -> 10306718.EXE.Muestra EliBagle v13.22 725516

"23A2F880800A9924486E8C08897DFB70" -> 10395203.EXE.Muestra EliBagle v13.22 496475

"26DBF0320C73FC4B2FC69FD48DB39524" -> 108343.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 1113984.EXE.Muestra EliBagle v13.22 725516

"26DBF0320C73FC4B2FC69FD48DB39524" -> 114328.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 139265.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 148234.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 156187.EXE.Muestra EliBagle v13.22 725516

"BC84948492E8C16825565F3981206FB9" -> 157281.EXE.Muestra EliBagle v13.22 725516

"71E7BCE0E43329C9FC6834E4A01D945B" -> 159109.EXE.Muestra EliBagle v13.22 68618

"BC84948492E8C16825565F3981206FB9" -> 1780765.EXE.Muestra EliBagle v13.22 725516

"BC84948492E8C16825565F3981206FB9" -> 1857343.EXE.Muestra EliBagle v13.22 725516

"6CF2D02B4E184FBFBC15915E39FCCECA" -> 1878671.EXE.Muestra EliBagle v13.22 94162

"6CF2D02B4E184FBFBC15915E39FCCECA" -> 191656.EXE.Muestra EliBagle v13.22 94162

"26DBF0320C73FC4B2FC69FD48DB39524" -> 193109.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 195390.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 1979062.EXE.Muestra EliBagle v13.22 725516

"26DBF0320C73FC4B2FC69FD48DB39524" -> 202078.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 213984.EXE.Muestra EliBagle v13.22 704004

"FBBE8ECE2A7E4E8642F1F4FA849995C1" -> 217578.EXE.Muestra EliBagle v13.22 93994

"26DBF0320C73FC4B2FC69FD48DB39524" -> 220437.EXE.Muestra EliBagle v13.22 704004

"A625C8BD2472F38BC402B933CAFB28ED" -> 233078.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 241203.EXE.Muestra EliBagle v13.22 725516

"26DBF0320C73FC4B2FC69FD48DB39524" -> 246656.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 246703.EXE.Muestra EliBagle v13.22 725516

"6CF2D02B4E184FBFBC15915E39FCCECA" -> 273062.EXE.Muestra EliBagle v13.22 94162

"26DBF0320C73FC4B2FC69FD48DB39524" -> 307859.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 3089515.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 315156.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 3337656.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 3570078.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 3674328.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 389593.EXE.Muestra EliBagle v13.22 725516

"26DBF0320C73FC4B2FC69FD48DB39524" -> 4057250.EXE.Muestra EliBagle v13.22 704004

"60E4D639D572757236673D63832729A6" -> 4075531.EXE.Muestra EliBagle v13.22 2052

"BC84948492E8C16825565F3981206FB9" -> 413843.EXE.Muestra EliBagle v13.22 725516

"BC84948492E8C16825565F3981206FB9" -> 475515.EXE.Muestra EliBagle v13.22 725516

"BC84948492E8C16825565F3981206FB9" -> 497578.EXE.Muestra EliBagle v13.22 725516

"BC84948492E8C16825565F3981206FB9" -> 5592921.EXE.Muestra EliBagle v13.22 725516

"26DBF0320C73FC4B2FC69FD48DB39524" -> 596562.EXE.Muestra EliBagle v13.22 704004

"26DBF0320C73FC4B2FC69FD48DB39524" -> 6109265.EXE.Muestra EliBagle v13.22 704004

"6CF2D02B4E184FBFBC15915E39FCCECA" -> 6121875.EXE.Muestra EliBagle v13.22 94162

"26DBF0320C73FC4B2FC69FD48DB39524" -> 6191093.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 663062.EXE.Muestra EliBagle v13.22 725516

"26DBF0320C73FC4B2FC69FD48DB39524" -> 735312.EXE.Muestra EliBagle v13.22 704004

"BC84948492E8C16825565F3981206FB9" -> 8882671.EXE.Muestra EliBagle v13.22 725516

"ADA64AF9589744C8A31C9B1F77AD6A1A" -> JESVKH.EXE.Muestra EliStartPage v19.76 359936



51 Ficheros Analizados.





Algunos están dañados o cortados (Por su tamaño de 2052 bytes) pero el resto será controlado con las utilidades de hoy





saludos



ms, 25-11-2009

[ShArKWhite]

Me alegro que se haya detectado alguna variante nueva de bagle o del Navipromo :D





Las próximas muestras para enviaros ya lo haré correctamente y sin prisas que no son buenas.. :D



Por cierto ¿Me podrías decir como desempaquetarlo? hay veces que por curiosidad me gustaría saber que hace un virus, a donde ataca o que claves modifica..



Un saludo y gracias por la ayuda que prestais.

[msc hotline sat]

Te refieres a descompilarlo, no, estan cifrados y enmarañados para que no se les pueda debuguear. Son mas listos de lo que puedas pensar, y se las saben todas, o casi todas :)



Lo que hacemos es, una vez preanalizadas, monitorizar las muestras en ordenadores preparados al efecto en los que tenemos imagen virgen tanto de su contenido en ficheros como en el registro, y luego disponemos de comparadores que nos indican los cambios habidos tras la infeccion, descarga o creacion de ficheros, borrado o alterado de algunos, y claves modificadas, y asi hacemos las utilidades de eliminacion de troyanos y restauracion de claves modificadas, y para la siguiente muestra, partir con el ordenador desde cero y vuelta a empezar...



Evidentemente tenemos medios (mas de 50 ordenadores) y estructura (25 personas entre tecnicos y staff) con los que damos soporte a nuestros clientes (mas de 150.000 usuarios en España) y personalmente doy soporte a zonavirus, altruisticamente, cuando puedo (entre llamadas y ratos libres, como ahora que es la hora de comer), y por las noches desde mi oficina en casa online con los de zonavirus del otro lado del charco (como digo a veces, trabajo de día en España y de noche en America :)



Pero no olvides que nos apoyamos con la base de McAfee, que para nosotros es el mejor antivirus (fue el primero en aparecer y sigue siendo lider mundial, especialmente con la version VirusScan Enterprise 8.7i SP2, cuya heuristica caza mas nuevos engendros que nadie). Lo introducimos en España a finales de los 80', cuando no había ningun otro, y nos dedicabamos al montaje al por mayor de ordenadores, cuyos drivers venían infectados de Taiwan, y, al reclamar a nuestros proveedores orientales, nos indicaron que habia un ingeniero americano llamado John McAfee que se dedicaba a investigar los virus, que si queríamos algo nos pusieramos en contacto con él, y asi lo hicimos ... y casi 20 años después, no nos arrepentimos :) !



Espero que con las nuevas versiones de hoy del ELISTARA y del ELIBAGLA detectes y elimines estos troyanos.





saludos



ms, 25-11-2009