NUEVA FAMILIA DE GUSANOS PWS BANKER Y BACKDOOR CMT

[msc hotline sat]

Hemos descubierto Nuevos robapasswords PWS Banker y backdoor CMT, los cuales tras haber sido examinados por McAfee han desarrollado EXTRA.DAT para su control, el cual ofrezco para los usuarios de McAfee que ya quieran controlarlo:



______________________________________



107 178 136 180 77 51 192 133 158 52 141 243 13 51 141 254

87 232 140 190 214 50 151 143 168 55 125 157 68 47 40 182

253 29 196 149 108 64 54 182 88 89 233 48 242 213 143 76

13 250 157 126 2 60 130 188 192 60 130 188 2 254 130 188

2 60 192 244 196 35 192 188 2 60 130 126 2 60 130 188

192 60 130 188 2 126 249 48 15 56 141 206 214 50 128 104

12 41 128 49 8 51 114 76 12 51 153 180

7622 256 12857 340 M6



81 178 159 178 77 51 221 228 94 30 207 210 99 88 232 193

35 80 163 215 127 160 138 187 77 51 141 179 103 204 87 178

0 204 142 87 12 51 44 177 229 204 114 178 121 176 143 227

11 214 157 8 6 68 201 68 251 142 173 11 151 123 52 221

190 151 41 190 143 54 141 179 13 50 141 167 192 49 138 179

67 52

7078 256 12857 340 PWS-Banker.c.dr



81 178 159 178 77 51 221 228 94 30 207 210 99 88 232 193

35 86 163 215 127 160 138 187 77 51 141 179 103 204 87 178

0 204 142 87 12 51 44 177 229 204 114 178 121 176 143 227

11 214 157 225 51 40 133 121 184 215 40 85 236 26 163 206

192 130 35 190 143 54 141 179 13 50 141 167 192 49 138 179

67 52

6947 256 12857 340 PWS-Banker.e.dr



81 178 159 178 77 51 207 210 110 88 201 220 98 65 160 240

64 103 163 215 127 160 138 187 77 51 141 179 103 204 87 178

0 204 142 87 12 51 44 177 229 204 114 178 121 176 143 227

11 214 157 225 51 40 133 121 136 215 40 85 251 218 163 206

192 130 35 190 143 54 141 179 13 50 141 167 192 49 138 179

67 52

7121 256 12857 340 BackDoor-CMT.dr





251 178 136 180 77 179 192 130 141 49 205 179 158 52 141 243

141 115 141 254 87 232 140 191 214 50 128 104 12 47 86 178

45 232 140 149 214 50 161 143 168 58 130 188 2 60 130 188

190 195 161 22 5 60 130 188 2 60 130 70 192 150 137 188

2 60 66 22 8 60 130 64 35 163 40 182 249 192 127 233

189 150 143 66 204 150 136 67 35 122 169 210 168 54 125 157

68 23 196 22 9 195 163 250 43 150 137 67 33 115 123 22

9 195 161 243 43 150 143 114 9 150 140 126 168 50 66 22

15 23 196 22 9 29 196 124 87 150 143 175 21 150 133 254

2 60 40 22 155 86 104 22 10 126 130 188 2 60 66 22

168 49 193 225 168 52 137 188 2 60 130 215 72 150 143 233

189 71 114 183 156 49 140 178 235 49 117 76 196 54 64 20

168 150 168 199 137 49 136 179 168 50 64 66 15 43 141 48

15 53 141 85 15 204 162 122 8 254 42 22 168 22 249 55

15 54 141 22 12 254 249 104 12 27 14 177 12 51 240 104

12 63 128 49 8 51 114 76 12 51 153 180

22237 256 12856 340 M1



107 178 136 180 77 51 192 133 158 52 141 243 13 51 141 254

87 232 140 190 214 50 151 143 168 55 125 157 68 47 40 182

253 29 196 149 108 64 54 182 88 89 233 48 242 213 143 76

13 250 157 126 2 60 130 188 192 60 130 188 2 254 130 188

2 60 192 244 196 35 192 188 2 60 130 126 2 60 130 188

192 60 130 188 2 126 249 48 15 56 141 206 214 50 128 104

12 41 128 49 8 51 114 76 12 51 153 180

7622 256 12856 340 M6



95 178 139 180 77 51 192 130 52 160 138 179 77 51 141 179

64 105 86 178 33 15 114 190 230 56 125 157 68 252 215 126

2 60 104 22 192 176 143 166 13 213 143 76 7 250 136 126

2 60 104 22 74 204 137 34 15 50 140 244 235 49 114 176

74 250 136 126 2 60 104 22 121 176 143 178 13 78 114 176

233 50 141 104 12 31 128 49 8 51 114 76 12 51 153 180



8346 256 12856 340 M19



88 178 139 180 77 51 192 129 61 160 138 179 77 51 141 179

64 105 87 178 33 204 140 194 213 55 141 179 15 51 179 143

235 49 114 176 196 53 215 35 2 60 104 22 74 204 137 34

15 50 140 244 235 49 114 176 74 250 139 233 157 60 130 86

168 71 14 177 15 51 240 76 14 215 140 179 214 50 161 190

143 54 141 76 242 50 141 167 10

6886 256 12856 340 M20



91 178 130 178 77 51 221 228 94 30 207 210 99 88 232 193

35 85 30 180 5 115 141 179 13 89 114 105 12 62 114 178

121 204 167 119 37 204 142 176 13 58 195 199 92 70 232 193

116 96 244 190 104 30 234 220 97 87 163 208 98 94 162 210

110 56 221 220 110 118 224 210 100 95 163 197 108 62 15 182

13 51 141 178 13 39 64 177 10 51 195 180

6880 256 12856 340 PWS-Banker.f



162 178 130 178 77 51 221 228 94 30 207 210 99 88 232 193

35 85 30 180 1 115 141 179 13 87 44 32 10 52 205 179

13 51 233 18 215 50 129 76 12 66 87 178 33 150 133 85

250 207 120 66 227 211 113 244 142 49 189 178 168 60 107 44

244 150 13 110 168 150 20 83 239 168 13 114 146 71 114 178

121 204 168 119 46 204 142 176 13 63 254 192 122 92 255 215

63 51 221 252 93 0 133 224 64 103 221 147 72 94 236 187

68 125 200 231 78 124 192 254 142 49 29 176 204 37 114 179

199 248 116 68 221 248 40 22 168 213 18 74 168 179 80 127

198 229 92 22 0 177 136 179 13 51 140 179 25 254 143 180

13 125 138

17063 256 12856 340 PWS-Banker.f



96 178 130 178 77 51 221 228 94 30 207 210 99 88 232 193

35 85 30 180 1 115 141 179 13 87 44 105 12 63 14 177

61 50 44 188 235 172 116 22 141 238 40 22 148 211 111 40

141 242 18 76 12 71 14 177 157 48 76 165 66 51 71 120

244 196 93 120 168 150 40 85 146 202 40 51 208 255 70 101

220 150 128 49 8 51 141 179 12 51 153 126 15 52 141 253

10

10415 256 12856 340 PWS-Banker.f



______________________________________





Son varios los usuarios que hemos tenido con estos problemas, por lo cual han sido 9 las muestras enviadas a McAfee que entre el SDATDAILY (ultimos DATS diarios) y el EXTRA.DAT de marras, logran controlarlos.



Quien sospeche de tener backdoor o robapasword por ports aniertos y/o trafico en la red, si usa McAfee puede copiar y pegar el script entre lineas y sañvarlo con el bloc de notas como EXTRA.DAT; el cual añadir a la carpeta de los demás ficheros DAT del antivirus.



Paralelamente estamos desarrollando nueva utilidad ELIBANKA que subiremos al foro en cuanto esté disponible.



saludos



ms, 12-01-2005______________________________________

[msc hotline sat]

Resultado del examen sobre disquete con muestras:



Análisis Bajo demanda

11/01/2005 16:26:40 No se ha realizado ninguna acción a:\PWS-Banker1.gxe\PWS-Banker1.gxe PWS-Banker.f (ED)(Troyano)

11/01/2005 16:26:45 No se ha realizado ninguna acción a:\PWS-Banker2 Dropper.gxe\PWS-Banker2 Dropper.gxe PWS-Banker.c.dr (ED)(Troyano)

11/01/2005 16:26:49 No se ha realizado ninguna acción a:\PWS-Banker2.gxe\PWS-Banker2.gxe PWS-Banker.c(Troyano)

11/01/2005 16:26:54 No se ha realizado ninguna acción a:\PWS-Banker3 Dropper.gxe BackDoor-CMT.dr (ED)(Troyano)

11/01/2005 16:26:58 No se ha realizado ninguna acción a:\PWS-Banker3.gxe\PWS-Banker3.gxe BackDoor-CMT(Troyano)

11/01/2005 16:27:03 No se ha realizado ninguna acción a:\PWS-Banker4.gxe\PWS-Banker4.gxe PWS-Banker.f (ED)(Troyano)

11/01/2005 16:27:08 No se ha realizado ninguna acción a:\PWS-Banker5 Dropper.gxe\PWS-Banker5 Dropper.gxe PWS-Banker.e.dr (ED)(Troyano)

11/01/2005 16:27:12 No se ha realizado ninguna acción a:\PWS-Banker5.gxe\PWS-Banker5.gxe PWS-Banker.e(Troyano)



saludos



ms, 12-01-2005

[msc hotline sat]

Para el control y eliminacion de los troyanos de la familia BANKER hemos desarollado nueva utilidad ELIBANKA.EXE que controla y elimina las variantes ya conocidas, la cual iremnos actualizando a medida que vayan apareciendo nuevas, que es de preveer ya que en la actualidad, apenas nacido, ya conocemos 9



Todas ellas son cazapaswords, además de una que abre port para abrir puerta trasera al hacker (BACKDOOR.CMT)



Para probar dicha utilidad, ver:



https://foros.zonavirus.com/viewtopic.php?p=22534#22534



saludos



ms, 12-01-2005

[msc hotline sat]

NOTA TRAS PROBAR NUEVOS DAT 4419 DEL 12-11-2005:



Tras la actualizacion de McAfee con los DATS de esta semana, se controlan 3 de las 8 variantes que enviamos ayer, haciendo falta igualmente el EXTRA.DAT indicado en los post anteriores para controlar las 5 restantes.



Ademas, queda 1 de las muestras enviadas para que McAfee la controle, por lo que hemos insistido hoy en ello, y estamos pendientes de la ultima variante, que queda residente aunque en este caso no crea mas ficheros, a diferencia de sus compañeras.



Recomendamos mantener el EXTRA.DAT indicado hasta la semana que viene, con DATS 4420 que ya lo contemplaran por defecto.



Igualmente cuando nos envien de McAfee el EXTRA.DAT para el control de la variante lo comunicaremos. Mientras, nuestra utilidad ELIBANKA 1.1 ya controla todas estas nuevas variantes



saludos



ms, 13-01-2005