rootkit extraño

[doh]

Buenas!



Este es mi primer post en este foro.

Os cuento: tengo un problema con un rootkit. Llevo intentando solucionar algo desde hace meses, pero no hay manera.

La cosa es que cada vez que paso el AVG me detecta el rootkit, siempre bajo la ruta "C:\Windows\System32\Drivers\XXXXXXXX.sys".



He pasado varias herramientas que me recomendaron en otro foro y sigo en las mismas. Las herramientas pasadas han sido

AVG (me detecta el rootkit)

TDSSKiller (me da solo warnings)

SystemLook (me encuentra el archivo, pero no puedo acceder a él)

aswMBR.exe (no detecta nada)

ComboFix (no arregló el problema)

Gmer (me detecta el archivo como sospechoso)



Si hace falta os puedo pasar el link del otro foro (son 3 páginas y me llevaría mucho tiempo copiar todos los reportes) para que le podáis echar un ojo.



Espero me podáis ayudar.



Gracias!

[msc hotline sat]

Lo que necesitamos es el fichero sospechoso que dices te detecta un antivirus:



[i][b]La cosa es que cada vez que paso el AVG me detecta el rootkit, siempre bajo la ruta "C:\Windows\System32\Drivers\XXXXXXXX.sys". [/b][/i]



Envianoslo y tras analizarlo, implementaremos su control y eliminacion, si procede, en la siguiente verison del ELISTARA.



Podría tratarse de un CUTWAIL, que utiliza un driver .SYS en dicha carpeta para proteger al malware... ya veremos



>[b]



[quote]



ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES



Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


[/quote]

saludos



ms, 20-8-2012

[doh]

Vaya, se me olvidó comentarlo. Puse el nombre de archivo como XXXXXXXX.sys porque cada vez que inicio el ordenador cambia de nombre, y además no se encuentra en el pc (es decir, algunas herramientas lo encuentran, pero desde el explorador es imposible acceder)



Gracias por la respuesta

[msc hotline sat]

Tal como indicamos para el Cutwail, para acceder al driver .SYS debe arrancarse con el CD de instalacion, pulsar R para acceder a la consola de recuperacion y desde allí, con CD \windows\system32\drivers\ , acceder a la carpeta donde está y poder ver el fichero, a cuya extension puede añadirse .VIR para que no se cargue a partir del siguiente reinicio, y enviarnoslo para analizar y controlar.



Vea lo que decimos sobre el Cutwail, del que puede ser una variante:



http://www.zonavirus.com/noticias/2012/nueva-variante-mejorada-de-cutwail-bf-y-su-fichero-sys-de-proteccion.asp





saludos



ms, 21-8-2012

[doh]

¿Entonces tengo que buscar el archivo cutwail.sys? Porque el archivo detectado en sí (C:\windows\system32\drivers) es diferente cada vez, por lo que si inicio desde recuperación no sabría qué archivo es :roll:



Lo siento, pero el tema de rootkits lo llevo algo flojo...

Gracias!

[msc hotline sat]

No, cutwail es el nombre con el que identificamos el virus, pero el nombre del fichero es un nombre compuesto por caracteres hexadecimales, normalmente de 15 ó 16 digitos, que encontrarás en dicha carpeta c:\windows\system32\drivers\ , y si dices que algun antivirus lo detecta, aunque cambie de nombre en cada reincio, ya verás como acostumbra a estar formado.



Por ejemplo, en el de la noticia que se indica, el nombre del .SYS era [i][b]Nombre: 4d839096a7e46521.sys [/b][/i], de 16 digitos


[quote="msc"]


Y EL SYS QUE GENERA:



SHA256: 85d453a12f32652ab7f02f0e4601a277e219277734b149d5b215037e0d8da2ab

SHA1: 5c6b3733f55a877463dfd826ce53bb4cf70b70ed

MD5: 13339f3b12e3d2028d26d266e648f028

Tamaño: 64.9 KB ( 66432 bytes )

[i][b]Nombre: 4d839096a7e46521.sys [/b][/i]

Tipo: Win32 DLL


[/quote]

Mira de cuantos digitos son los ficheros .SYS que te detecta el antivirus, y busca uno similar.



saludos



ms, 21-8-2012