Gusano MarioFev del que empezamos a tener incidencias y resultar persistente y molesto.

Publicado el 23 junio 2010 ¬ 12:01 pmh.mscComentarios desactivados en Gusano MarioFev del que empezamos a tener incidencias y resultar persistente y molesto.

Esta semana hemos tenido varias incidencias de este gusano MARIOFEV (Marioforever) que si bien ya es detectado por McAfee, propagandose por comparticiones de red y a través de unidades extraibles (AUTORUN.INF de Pendrive) deben atacarse varios puntos para su total eliminación.

Particularmente este virus modifica el USER32.DLL tanto de la carpeta de sistema como de la DLLCACHE que cuelga de ella, dejando una copia del original en un fichero de nombre aleatorio dentro de la misma carpeta.

Lo malo es que si se elimina dicho fichero, la copia de seguridad del USER32.DLL existente en DLLCACHE, es repuesta en la carpeta de sistema, con lo que se regenera el virus.

Lo que debe hacerse es, desconectar las máquinas entre sí y arrancar en Modo Seguro para, tras eliminar el virus con el antivirus, sobreescribir con un USER32.DLL de otro ordenador con igual sistema opoerativo, los ficheros con el mismo nombre de las dos carpetas, C:\windows\system32\ y C:\windows\system32\dllcache\  en todas las máquinas de la red, y una vez limpias y restablecido en todas dicho fichero, volver a conectarlas y comprobar que ya no se detectan mas intentos de intrusion.

En cualquier caso, el USER32.DLL modificado tiene solo unos 19 KB, mientras que el del sistema es de unos 586 KB, segun parche instalado

Como datos caracteristicos de este virus cabe indicar que crea en la carpeta de sistema y unidades extraibles (pendrives)  el fichero MARIOFOREVER.EXE y otro que empieza por NVR * .DLL , y como ya hemos indicado, en la carpeta de sistema renombra el USER32.DLL con un nombre variable y en su lugar deja en la de sistema y en DLLCACHE un fichero con igual nombre USER32.DLL pero modificado.

Con el ELISTARA de hoy 21.22 ya se aparcan a C:\muestras los ficheros en cuestión y se pide muestra para analizar de las nuevas variantes que vayan apareciendo.

saludos

ms, 23-6-2010

·

NOTA: Y como siempre, para evitar la propagación de virus de pendrive, vacunar ordenadores y pendrives con nuestro ELIPEN.EXE

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies