Avisos 08 de June, 2012

Nova variant de codi maliciós Quervar/BeastDoor/Dorifel

En les darreres hores s'ha detectat una nova variant del codi maliciós conegut com a Quervar/BeastDoor/Dorifel, a data d'avui encara resta indetectable per diversos fabricants d'antivirus.

Recursos afectats: Pendent de concretar l'abast concret, sembla afectar principalment a plataformes Windows (versió d'usuari i servidor).

Impacte: Compromís de l'equip, control remot dels sistemes mitjançant participació activa en xarxa de tipus "botnet".

Solució:

A l'espera que els diferents fabricants d'antivirus publiquin les corresponents signatures de detecció i neteja, us oferim un seguit de recomanacions de seguretat genèriques a considerar:
 Bloqueig/Aïllament dels serveis o màquines afectades mitjançant els dispositius de xarxa o seguretat adients tal com encaminadors/tallafocs.
 Si és possible, des configurar/deshabilitar els serveis de xarxa de les màquines afectades.
 En cas d'identificar propagació por correu electrònic, agafar una mostra i bloquejar els correus amb assumpte (subject) o contingut que identifiqui el codi maliciós. Si és necessari, inhabilitar el servei de correu per a les bústies afectades fins que es solucioni l’incident.
 Actualitzar a la darrera versió de signatures tots els sistemes de control antivirus, anti-spam, anti-spyware, etc.
 Activació de signatures de contenció als sistemes de prevenció contra intrusions a nivell de sistema o xarxa (IPS).
 
Com a mesura d'eradicació us recomanem que inicieu els sistemes Windows infectats en mode a prova d'errors, actualitzeu l'antivirus i executeu un escaneig per tal d'eliminar les infeccions. En cas que el vostre antivirus no detecti el virus, recomanem posar-vos en contacte amb el fabricant per que us faciliti una firma de detecció i eliminació.


Detall:

Detecció:
 
Aquesta nova variant de codi maliciós es detectat per 14 de 36 antivirus, la majoria el detecten com a troià genèric:
 AVG: Dropper.Generic6.VEM
 BitDefender:Trojan.Generic.KDV.642479
 ClamAV: PUA.Win32.Packer.BorlandDelphi-16
 F-Prot: Possible W32/Trojan-Gypikon-based.DE!Maximus
 F-Secure:Trojan.Generic.KDV.642479 [Aquarius]
 GData:Gen:Trojan.Heur.hzZ@tDob71jaf [Engine:A]
 Kaspersky: Trojan-Dropper.Win32.Dorifel.cvx
 NOD32: probably a variant of Win32/Quervar.A trojan
 Sophos:W32/Quervar-C
 
Anàlisi de comportament:
 
Encara per determinar el mètode de propagació, podem donar les següents dades d'estudi:
 Creació del fitxer: C:\\WINDOWS\\xpsp2res.dll
 Comunicacions per xarxa al que podria ser punt de control (C&C), per la qual com a mesura de contenció us recomanem el bloqueig de les següents adreces IPs i/o URLs:
 avtoclub.eu/admin/ajax/way.php?xxxxxxxxxxxxx 87.106.60.46
 
vnk.sk/js/way.php?xxxxxxxxxxxxxxxxxxxxx 82.208.46.25
 


Nova variant:
 
Comunicació de xarxa amb els següents dominis:
 avtoclub.eu
vnk.sk
1nlreality.sk
forum.perfect-privacy.com
 

La última verificació d'avui a les 17:33h, mostra els 4 dominis actius.
 
 
 
Accions realitzades al sistema de fitxers:
 
Creació de fitxer C:\\DOCUME~1\\ADMINI~1\\APPLIC~1\\Microsoft\\IRCEXMSO.exe.
 
Creació de fitxer C:\\WINDOWS\\xpsp2res.dll.
 
Borrat de fitxer C:\\DOCUME~1\\ADMINI~1\\APPLIC~1\\Microsoft\\IRCEXMSO.exe.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\DZLINP.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\VPNWOX.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\RMUKTE.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\FEFKTX.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\FCWDAW.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\UABKKU.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\NCNXHX.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\JFQFQB.
 
Creació de fitxer C:\\WINDOWS\\TEMP\\JFQFQB~~.doc.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\DZLINP.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\VPNWOX.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\RMUKTE.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\FEFKTX.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\FCWDAW.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\UABKKU.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\NCNXHX.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\JFQFQB.
 
Borrat de fitxer C:\\WINDOWS\\TEMP\\JFQFQB~~.doc.
 
 
 
Accions realitzades a nivell de procés:
 
Creació de procés "DZLINP".
 
Creació de procés "VPNWOX".
 
Creació de procés "RMUKTE".
 
Creació de procés "FEFKTX".
 
Creació de procés "FCWDAW".
 
Creació de procés "UABKKU".
 
Creació de procés "NCNXHX".
 
Creació de procés "JFQFQB".
 
Nota:
 
Les referències dels noms poden ser variables.
 
Propagació:
 
El resultat dels primers estudis, indiquen que la seva propagació s'està produint principalment mitjançant unitats de xarxa compartides (especialment a arxius de tipus DOCX i EXE).
 
 
 
Referències
 Microsoft Malware Protection Center
 http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fQuervar.A
 McAfee Secure
 http://home.mcafee.com/virusinfo/virusprofile.aspx?key=1184454#none
 

Publicat a: Avisos
Tags: Seguretat