Troyano en sector MBR

[geroro]

Cuando paso el antivirus pone:



El sector MBR del disco físico 2 contiene [Troyano] Win32/Mebroot.K.



Y se me queda colgado muchas veces ¿qué puedo hacer?

El disco 2 está recién formateado y vacio.

Agradezco ayuda.

[lucl]

Usas el nod32? Prueba arrancando el pc en modo seguro y pasado tu antivirus a ver si te lo elimina saludos





http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[msc hotline sat]

Mucho cuidado con este malware !!!, es un backdoor que usa un rootkit que instala al final de la particion de arranque activa y modifica el MBR... Y USA TECNICAS STEALTH (de engaño)



La infeccion entra por acceder a una web como [http://]gfeptwe.com[REMOVED]



Usa tecnicas stealth y al haber copiado el MBR original en el sector 62 del cilindro 0 y cabezal 0, cuando se accede al MBR muestra dicho sector bueno, con lo cual pasa desapercibido...



Posiblemente el Master tambien esté infectado, pero por antes lo indicado no sea detectado.



El caso es que un usuario remoto podrá acceder a dicho ordenador desde [http://]dkfhchkb.com/ser[REMOVED] que como se ve no es la misma que la utilizada para la infeccion.



Afortunadamente no tiene rutina de propagacion, si bien ests puede ser inyectada remotamente por el usuario malicioso remoto, a partir de tener acceso al ordenador infectado.



Y tiene como precedente el Sinowal, capturador de passwords bancarios, asi que las intenciones del coder nos imaginamos por donde van... MUCHO CUIDADO !!!



Pero ademas instala una DLL que se ejecuta en cada reinicio:



the Trojan creates a .dll file in the current folder where it is executed and then runs the following command:

regsvr32 /s [TROJAN FILE NAME].dll



Por lo que lanza el siguiente mensaje:





"Some updates require you to restart your computer to complete the update process. Be sure to save any work prior to the scheduled time."



Extraigo la siguiente informacion de Hacksoft, por estar en castellano y ser de fácil comprension:


[quote]


Trojan/Mebroot



Nombre: Trojan/Mebroot

Alias: Trojan.Mebroot

Tipo: Troyano

Tamaño: Variado

Origen: Internet

Destructivo: NO

En la calle (in the wild): SI

Detección y eliminación: The Hacker 6.2 al 08/01/2008.



Descripción:



Trojan/Mebroot, troyano que al ejecutarse crea el siguiente mutex para lograr ejecutar una instancia a la vez del troyano:



Global\7BC8413E-DEF5-4BF6-9530-9EAD7F45338B

Luego el troyano revisa el MBR (Master Boot Record) del disco duro y luego revisa la tabla de particiones para ubicar la partición activa. Seguidamente el troyano infecta el MBR copiando el MBR original al sector 62 del disco duro. El troyano instalá su propio núcleo y loader en los sectores 60 y 61 del disco duro.



Además, el troyano copia un componente rootkit (técnica de ocultamiento) cerca del final de la partición activa sobreescribiendo alrededor de 1149 sectores (467 Kb).



Luego el troyano crea un archivo .DLL usando el nombre de la carpeta en la que se encuentra, y ejecuta el siguiente comando:



regsvr32 /s [CARPETA].dll



También podría usar como nombre: "mat[NUMERO].dll"



Seguidamente el troyano tratará de reiniciar la Pc infectada o mostrará el siguiente mensaje:



Some updates require you to restart your computer to complete the update process. Be sure to save any work prior to the scheduled time.



Cuando la Pc se reinicia, el área infectada (MBR) iniciará el núcleo y loader del troyano localizado en los sectores 60 y 61, el cual altera el núcleo de Windows para ejecutar el componente rootkit.



El componente rootkit del troyano se engancha a las siguientes rutinas del núcleo de Windows:



IRP_MJ_READ

IRP_MJ_WRITE

Sí el sector 0 es leído por el disco duro el troyano devolverá el MBR original almacenado en el sector 62. El troyano evitará la escritura en el sector 0 para prevenir su eliminación.



Finalmente el troyano habilita una puerta trasera (Backdoor) usado para conectarse a la siguiente dirección web, esto permite que un atacante tome el control de la Pc:



http://dkfhchkb.com/ser[OCULTO] [/quote]

Fuente Hacksoft -Lima, Perú







SI se dispone de punto de restauracion, sería muy conveniente RESTAURAR SISTEMA A UN PUNTO ANTERIOR AL PROBLEMA !!!, y sino, recomiendo arrancar con el CD de instalacion, pulsar R para entrar en CONSOLA DE RECUPERACION y desde alli lanzar un FIXMBR sobre los discos duros que se tengan, especialmente el MASTER, aunque no se haya detectado en él la infeccion.



Luego arrancar en modo seguro, para que no se lance la clave del RUN regsvr32 /s [CARPETA].dll (sino todo empezaria de nuevo) y copiarle el SPROCES bajado desde otro ordenador si no se tiene en este, y tras probarlo, postearnos el c:\sproclog,txt resultante, Y MUY IMPORTANTE, NO HACER NADA, NI REINICIAR, HASTA QUE INDIQUEMOS LA CLAVE ELIMINAR y SE HAYA PROCEDIDO A ELLO !!!



Afortunademante no está muy extendido, pero es una arma tecnologica temible, ya que solo lo detectan los que tienen un disco duro esclavo (no aplica las tecnicas de engaño sobre su MBR) pero sino... nadie se entera del intruso que está cpontrolando remotamente el ordenador...







[b][size=150]MUY, MUY TEMIBLE [/b][/size]







Espero que logres hacer lo indicado, y tras indicarte la clave a eliminar, te pediremos que nos envies la DLL maliciosa, para controlarla, si bien el ROOTKIT empleado nos impedirá detectarla si no se arranca desde otro medio, por ejemplo colocandolo como esclavo en otro ordenador, pero ojo, no utilizandop para MASTER el disco esclavo del infectado, hasta limpiarle el MBR con el FIXMBR !!!



Y esto me hace temer otros como él que no nos enteremos... y no quiero dar ideas !!!



Cuentanos tus progresos al respecto, gracias



saludos



ms, 8-2-2009





NOTA: Para descargar y proceder con el SPROCES, :


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto. ms.

[geroro]

Gracias Lucl, aunque el antivirus que tengo es Nod32, no ha servido de nada pasarlo en Modo seguro.



msc hotline sat, muchas gracias.

He lanzado el FIXMBR a los dos discos duros que tengo, también al Maestro, y el sproclog.txt que se generó es:



Sun Feb 08 14:56:25 2009

SProces v3.3 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0

Nombre Equipo: G5M1-SALON

Nombre Usuario: Gerardo R R



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\SPROCES.EXE



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: aeaudio - Andrea Electronics Corporation - C:\WINDOWS\SYSTEM32\drivers\aeaudio.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: MidiSyn - Analog Devices Inc - C:\WINDOWS\SYSTEM32\drivers\MidiSyn.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: senfilt - Sensaura - C:\WINDOWS\SYSTEM32\drivers\senfilt.sys

O23 - Service: smwdm - Analog Devices, Inc. - C:\WINDOWS\SYSTEM32\drivers\smwdm.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



24 Servicios.

7 de Carga Automatica.

14 de Carga Manual.

3 Deshabilitados.





Espero, muy agradecido, tu respuesta para seguir.

Ahora tengo apagado el PC infectado, me estoy comunicando con otro equipo portátil.

[msc hotline sat]

De entrada veo este sospechoso:



C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll



arranca en modo seguro con funciones de red y añade a este fichero (cambiar nombre) la extension .VIR y nos lo envias para analizar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-02-2009





Ademas, sube este fichero al VIRUSTOTAl, https://www.virustotal.com/es/ , A VER LO QUE DETECTAN TODOS LOS ANTIVIRUS, Y NOS POSTEAS EL INFORME RESULTANTE, como respuesta de este Tema, gracias



voy a estar un rato por aqui, y volveré a ver si has respuesto, pues esta mañana ya he estado un buen rato (unas 3 horas), buscando informacion y lo que decian tanto las casas antivirus como los afectados, y he visto que todos los que lo detectaban era si tenian un esclavo, claro, las tecnicas stealth enseñaban a los antivirus, para el MASTER, la copia del sector MBR original, que copia en el 0.0.62 , y los que solo tienen un disco duro ni se enteran, DIOS MIO !!! cuantos pueden estar asi controlados ...



Ya tuve a primeros de los '90 lo mismo con el ANTITEL, que fue el primero en usar tecnicxas stealth, y ni los de McAfee me creian..., hasta que me dieronm la razon, cuando empezó a activarse y destruyó la informacion de miles de equipos, irremisiblemente..., y a este alguien le ha sumado encima un Rootkit y un backdoor... para nada bueno, seguro !



Suerte y mucho cuidado con lo que pudieran haber visto en este equipo, claves bancarias, datos confidenciales, etc...



saludos



ms, 8-2-2009

[msc hotline sat]

Pasada una hora sin noticias al respecto, entiendo que estás en otra cosa... así que hasta otro momento.



saludos



ms, 8-2-2009

[geroro]

estoy en ello pero tengo que desconectar el PC, luego conectar el portátil, resetear el modem, ...

y todo a prueba de fallos.

[msc hotline sat]

Bueno, pues cuando termines ya nos diras si VirusTotal ha detectado algo en dicho fichero ..., sino he estado pensando que igual solo tenias infectado el segundo disco duro, por instalarlo en este ordenador ya así... ???



En tal caso, con lo que hemos hecho lo habrás limpiado y solo si no se detecta nada en dicha DLL, consideraremos esta ultima hipotesis, y veremos si reiniciando normalmente se acabaron las anomalias...



Mejor que haya sido por ello, dinos si habias usado como MASTER este disco duro que ahora tienes como esclavo, gracias



saludos



ms, 8-2-2009

[geroro]

En la página de VirusTotal no le han sacado nada.

Pero el PC me sigue dando problemas de quedarse colgado muy frecuentemente y hay que apagar y volver a encender.

Muchas gracias por todo y si sabes qué más me puede pasar, te agradecería me lo contaras.

Siempre he tenido el mismo disco como Master y el otro Esclavo para almacenamiento de datos.

Muy agradecido.

[msc hotline sat]

Sí, pero este donde estaba antes, lo compraste y lo pusiste directamente como esclavo ???



Y mira, no queria preocuparte mas, ya que no se ha detectado la DLL enm cuestion, pero he seguido buscando y en CISCO he visto que se sabe que mas de 300.000 ordenadores han sido infectados por este MEWROOT y capturadas las cuentas bancarias que contenian... espero que no sea tu caso.



Ahí tienes, por si quieres pasar el rato:


[quote="CISCO"]
Virus Name: Trojan.Mebroot (Aliases include Win-Trojan/MBRtool (AhnlLab), Win32/Mebroot.A (CA), StealMBR (McAfee), StealthMBR!rootkit (McAfee), Sinowal.VPB, Sinowal.VTJ, Sinowal.VUW (Panda), Troj/Sinowal-A, Troj/Sinowal-B, and Troj/Sinowal-C, Troj/Mbroot-A (Sophos), Boot.Mebroot (Symantec), TROJ_SINOWAL.AD (Trend Micro), and TROJ_SINOWAL.CI (Trend Micro).)







Description



--------------------------------------------------------------------------------



Trojan.Mebroot is a trojan that infects the Master Boot Record (MBR) code. This trojan installs a rootkit to hide its actions and may allow an attacker to access the system to control the machine. The trojan is most widely known for its ability to steal online banking information, such as bank account numbers, credit and debit card numbers, and other confidential information.



When executed, the trojan creates a mutex to ensure only one instance of the trojan is running at a time. Trojan.Mebroot scans for the bootable drive on the computer, copies the original MBR to another location, and infects the MBR by inserting malicious code. During this process, some of the data saved in this portion of the drive will likely be overwritten.



The trojan may create cln5.tmp in the \%Temp% directory and the following files in the \%Windows% directory:



00000219.tmp

ldo6.dll

ldo6.tmp



Trojan.Mebroot may reboot the system and display a message stating the need for a restart. Once rebooted, the newly modified MBR installs a rootkit during the bootup process, which hides the trojan's presence on the system.



The trojan attempts to open a back door on the system by connecting to the http://dkfhchkb.com domain and communicating with the attacker. The trojan may also inject additional malicious code into processes that are currently in user mode.



Virus definitions are available.





Impact



--------------------------------------------------------------------------------



Trojan.Mebroot infects the MBR and installs a rootkit on the machine. The trojan also opens a back door that could allow an attacker to control the affected system remotely. The trojan also has the ability to steal the following information:



FTP credentials

e-mail client passwords

system name

IP address

open ports

account credentials

user financial information

geographic area





Warning Indicators



--------------------------------------------------------------------------------



The existence of the following files may indicate an infection; however, these filenames may vary:



cln5.tmp

00000219.tmp

ldo6.dll

ldo6.tmp

2.tmp

3.tmp

4.tmp



Trojan.Mebroot restarts the system and may display the following message during this process:



Some updates require you to restart your computer to complete the update process. Be sure to save any work prior to the scheduled time.



Personal firewalls may display a notification message when Trojan.Mebroot attempts connect to the Internet and communicate with the attacker.



Host intrusion detection/prevention system software may display a notification when the trojan attempts to execute or make modifications to the system.





Technical Information



--------------------------------------------------------------------------------



Trojan.Mebroot creates the following mutex to ensure only one instance of the trojan is running at a time:



Global\7BC8413E-DEF5-4BF6-9530-9EAD7F45338B



The trojan then scans the MBR for the partition table to locate an active boot partition of the drive. The trojan injects malicious code into this bootable section and copies the original MBR to sector 62 of the hard drive. The trojan installs a kernel loader to sectors 60 and 61 of the hard drive and a rootkit driver close to the end of the partition. While installing the driver, the trojan overwrites approximately 1149 sectors of the hard drive that may contain user data.



Trojan.Mebroot creates a DLL file in the folder in which the trojan was originally executed and then executes the command regsvr32 /s %trojan file name%.dll



Next, the trojan restarts the system and the infected MBR will load the kernel loader in sectors 60 and 61, which patches the Windows kernel in memory to load the rootkit. The rootkit driver hooks the following Windows kernel routines, allowing the trojan to perform some of its actions:



IRP_MJ_READ

IRP_MJ_WRITE



The trojan returns the original MBR backup stored in sector 62 if sector 0 is read from the hard drive. The trojan attempts to prevent sector 0 from being written to in order to avoid removal of the trojan.



The trojan may add the value {DEF85C80-216A-43ab-AF70-1665EDBE2780}ImagePath = "\??\%Temp%\%Random Number%/.tmp" to the following registry key:



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\





--------------------------------------------------------------------------------





IntelliShield Analysis



Security researchers have recently performed analysis on this trojan and uncovered astonishing data. Trojan.Mebroot, also known as Sinowal or Torpig, has been effective since 2006. The trojan's primary objective is to steal banking details and other confidential information, such as credit and debit card information and credentials for various types of accounts. One reason the trojan has been so successful is that it employs the older tactic of infecting the MBR. Because this tactic is no longer commonly used by malicious code authors, the trojan may have a better chance at bypassing detection. This tactic makes detection very difficult and remediation efforts nearly impossible because users may need to completely reformat their hard drives to remove the trojan. When it is installed on the system, the trojan just sits dormant until the user accesses certain finance-related URLs. Reports indicate the trojan can be triggered by over 2700 URLs. If one of these URLs is accessed, Trojan.Mebroot performs an HTML injection attack by injecting a new web page or information field into the user's browser, which would appear legitimate to the user. The attacker could use this field or page to request sensitive information from the user, such as a Social Security number. The malicious web page or form is controlled by the attacker, so if the user enters any information into the page, the data is sent to an attacker-controlled database.



Trojan.Mebroot is reported to have infected nearly 300,000 machines and successfully stolen 270,000 bank account numbers and details for 240,000 credit and debit cards. Nearly one-third of the compromised accounts have occurred within the last 6 months, from May 2008 through November 2008. These statistics indicate the trojan is a serious and ongoing threat. Attackers are providing updates to the trojan on a regular basis to evade detection. The trojan has also been suspected to have ties with the Russian Business Network (RBN). More information about this malicious group is in IntelliShield Alert 14457.



Trojan.Mebroot does not contain a method of self-propagation and requires some type of user interaction to spread. Users may download this trojan over P2P networks, IRC servers, FTP servers, or in an e-mail attachment sent from the attacker.



Reports indicate that the trojan has been installed from the http://gfeptwe.com domain using browser exploits.



Rule-based and application-based firewalls are likely to prevent or limit the impact of this trojan. Rule-based firewalls are typically set up by an administrator for an entire network. These firewalls are often set up to block all traffic entering and exiting a network except traffic traveling through ports needed for production. Application-based firewalls are often found on client systems and can be configured to allow certain services and process to access the Internet or local network. These firewalls can be configured to prompt a user each time a new process or service is attempting to access the Internet or local network. Both types of firewalls may prevent malicious code from downloading updates or additional files. The firewalls may also prevent the malicious code from contacting an attacker or website and from accessing local network resources.



Most host intrusion detection/prevention system software can be configured to warn users when suspicious activity occurs on their systems. This software can be configured to prevent this trojan from attempting to execute its infection routines. Host intrusion detection/prevention system software may also be configured to prompt a user when suspicious activity occurs. Often users can choose whether to allow or deny the activity in question. These factors will limit the infection rate and impact on most systems.



Security best practices dictate that administrators should restrict file formats commonly associated with malicious code from entering the corporate network. User education focused on avoiding malicious code attacks and responding in the case of infection is of equal importance.





Safeguards



Develop and maintain corporate policies and procedures to mitigate the risk of malicious code.



Block all file attachments except those specifically required for business purposes.



Use current and well-configured antivirus products at multiple levels in the environment. Configure antivirus products to scan all files and provide full-time or auto-protect functions. Configure antivirus products to scan three levels deep on compressed files.



Configure auto-update features to update daily or manually update antivirus signatures. Establish procedures for immediate antivirus updating in response to high risk malicious code outbreaks.



Conservatively configure mail perimeter servers, routers, firewalls, and personal computers. Disable all unnecessary products, features, and sharing. Install all security-relevant patches and upgrades as available.



Configure network access controls to establish a default deny posture by limiting incoming and outgoing traffic and limiting network services to those required for business operations.



Establish supplemental protection for remote and mobile users. Include daily updated antivirus, personal firewalls, and network address translation on corporate routers or firewalls.



Provide initial and continuing education to all levels of users throughout the organization.





Patches/Software



Ahnlab has released virus definitions to detect Win-TrojanMBRtool.

The CA Virus Threat for Win32/Mebroot.A, as well as the signature and engine information, is available at the following link: CA



The McAfee Virus Description for StealthMBR is available at the following link: Virus Description. DAT files 5204 and later are available at the following link: McAfee



The McAfee Virus Description for StealthMBR!rootkit is available at the following link: Virus Description. DAT files 5204 and later are available at the following link: McAfee



Panda Software has also released virus signature files that detect the following: Sinowal.VUW, Sinowal.VTJ, and Sinowal.VPB



Sophos has also released identity files that detect the following: Troj/Sinowal-A, Troj/Sinowal-B, and Troj/Sinowal-C



The Sophos Virus Analysis for Troj/Mbroot-A is available at the following link: Virus Analysis. The latest identity files are available at the following link: Sophos



The Symantec Security Response for Boot.Mebroot is available at the following link: Security Response. The latest protection included in virus definitions for Intelligent Updater and for LiveUpdate is available at the following link: Symantec



The Symantec Security Response for Trojan.Mebroot is available at the following link: Security Response. The latest protection included in virus definitions for Intelligent Updater and for LiveUpdate is available at the following link: Symantec



The Trend Micro Virus Advisory for TROJ_SINOWAL.AD is available at the following link: Virus Advisory. The latest pattern files are available at the following link: Trend Micro



The Trend Micro Virus Advisory for TROJ_SINOWAL.CI is available at the following link: Virus Advisory. The latest pattern files are available at the following link: Trend Micro





Alert History



Version 3, January 17, 2008, 7:51 AM: AhnLab and CA have released virus definitions to detect aliases of Trojan.Mebroot.



Version 2, January 14, 2008, 1:05 PM: IntelliShield has released the Trojan.Mebroot malicious code alert on the Cisco Security Center.



Version 1, January 10, 2008, 5:11 PM: Trojan.Mebroot infects the Master Boot Record and could allow an attacker to execute arbitrary commands. Virus definitions are available.





--------------------------------------------------------------------------------





Product Sets



The security vulnerability applies to the following combinations of products.





Primary Products:

IntelliShield Malicious Code Alert Original Release Base



Associated Products:

Microsoft, Inc. Windows 2000 Advanced Server Base, SP1, SP2, SP3, SP4, rev.2031, rev.2072, rev.2195 | Professional Base, SP1, SP2, SP3, SP4 | Server Base, SP1, SP2, SP3, SP4

Microsoft, Inc. Windows Server 2003 Datacenter Edition Base, SP1, SP2 | Datacenter Edition, 64-bit (Itanium) Base, SP1, SP2 | Datacenter Edition x64 (AMD/EM64T) Base, SP2 | Enterprise Edition Base, SP1, SP2 | Enterprise Edition, 64-bit (Itanium) Base, SP1, SP2 | Enterprise Edition x64 (AMD/EM64T) Base, SP2 | Standard Edition Base, SP1, SP2 | Standard Edition, 64-bit (Itanium) Base, SP1, SP2 | Standard Edition x64 (AMD/EM64T) Base, SP2 | Web Edition Base, SP1, SP2

Microsoft, Inc. Windows Vista Business Base | Business x64 Edition Base | Enterprise Base | Enterprise x64 Edition Base | Home Basic Base | Home Basic x64 Edition Base | Home Premium Base | Home Premium x64 Edition Base | Ultimate Base | Ultimate x64 Edition Base

Microsoft, Inc. Windows XP Home Edition Base, SP1, SP2 | Professional Edition Base, SP1, SP2 | Professional x64 (AMD/EM64T) Base, SP2









--------------------------------------------------------------------------------



LEGAL DISCLAIMER

The urgency and severity ratings of this alert are not tailored to individual users; users may value alerts differently based upon their network configurations and circumstances. THE ALERT, AND INFORMATION CONTAINED THEREIN, ARE PROVIDED ON AN "AS IS" BASIS AND DO NOT IMPLY ANY KIND OF GUARANTEE OR WARRANTY, INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE. YOUR USE OF THE ALERT, AND INFORMATION CONTAINED THEREIN, OR MATERIALS LINKED FROM THE ALERT, IS AT YOUR OWN RISK. INFORMATION IN THIS ALERT AND ANY RELATED COMMUNICATIONS IS BASED ON OUR KNOWLEDGE AT THE TIME OF PUBLICATION AND IS SUBJECT TO CHANGE WITHOUT NOTICE. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE ALERTS AT ANY TIME.





Related LinksFeedback

Which alert section is most useful?

Affected Products/Versions

Patches/Software Updates

Safeguards

Technical Information/Analysis

Description





What additional information should IntelliShield alerts include?





Do you use the CVSS scoring provided in alerts? Why?[/quote]Fuente http://tools.cisco.com/security/center/viewAlert.x?alertId=14911



sI AHORA TIENES ALGUNA ANOMALIA, LANZA ESTE av online Y POSTEANOS EL INFORME RESULTANTE:







http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



puede ser cualquier otra cosa... (Hay un millon mas de troyanos pululando por ahñ...) :?



saludos



ms, 8-2-2009

[geroro]

Quizá sea demasiado desconfiado y precavido con los datos que pueden pulular por la red, pero nunca he mandado los datos bancarios desde el ordenador, cuando he hecho una compra via e_mail ha sido contra reembolso.

Y sí cuando compré el disco duro Esclavo era nuevo (eso me dijeron) y lo hice para usarlo de almacén de datos y copias de seguridad.

Muchas gracias por todo, y espero no tener ya problemas.

[lucl]

No obstante prueba el online que te indica msc para ver si estas limpio del todo o que, saludos

[msc hotline sat]

Y ojo que no es suficiente con no enviar datos bancarios, sino incluso no tenerlos en el ordenador, pues con un backdoor como el de marras, el intruso puede ver todo lo que hay en el mismo, solo para tu informacion



Y si nos posteas el informe del AV ONLINE, como bien indica lucl, espero que podremos dar por solucionado el Tema



saludos



ms, 9-2-2009









NOTA: Y pudo venir con el MBR infectado... otros casos se han dado ! ms.