Una de Virus

Llevo unos días que me está dando mucho trabajo un virus 'sin firmar' por varios antivirus, muchos informes, descripciones, trabajo de más en general... Esto de cazar virus cada día se está volviendo más difícil. Ya lo decía el otro día Natalya Kaspersky, esto empieza a ser una locura ... Mi bicho se trata de un 'cabroncete' ruso que se esconde usando técnicas de rootkit. Lo encontramos haciendo un forense de andar por casa con RootKit Revealer por que nos estaba dejando algunas redes hechas polvo, intentando conectarse a no se donde de Rusia para esperar instrucciones via IRC para crujir a alguien a la par que enviando un tráfico DNS malformado de dejaba todo tostado, según me comentaron. Yo lo único que hice fué detectar al bicho. Al tío que llevaba el caso le costaba encontrarlo por que se llamaba cssrss.exe, es decir, una 's' más que el csrss.exe (Client Server Runtime Process), fichero legítimo de Windows. Ya lo hemos enviado al fabricante que nos vende los antivirus que había en la red afectada para que lo incluya en su próxima firma. Por cierto, estos días, con todos estos follones he actualizado mi lista de virus on-line, que sigue encabezada, como no, por VirusTotal. A ver si tengo un rato y la pongo en el blog.

Por si alguien encuentra el virus por ahí, dejo aquí los 'hashes', aunque probablemente sea polimorfico o esté hecho con algún virus toolkit:

cssrss.exe
File size: 18944 bytes
MD5: e3eeefae5a2249209230e677f14eedcf
SHA1: 8ee1f580c9662d005ffe1ce1a206e11ff4e45450

En fin, ahora lo detectan como algo rarito varios motores y firmas de virustotal. En breve lo tendrá firmado todo el mundo. Aunque ya hace días que lo descubrimos, y muchos siguen sin 'firmarlo'...no, si van a estar todos con los mismos problemas que contaba la Kaspersky.