Nueva utilidad ELIWBOY para restaurar ficheros modificados por el WBOY y buscar los malwares que eran ejecutados por ellos

Como decíamos ayer, la nueva detección del WBOY hizo saltar la alarma de una nueva manera de lanzamiento de malwares sin modificación del registro de sistema, y en consecuencia sin poder ser detectados por herramientas como el HJT o el SPROCES.

El análisis de ficheros modificados sin aparente cambio ni en el tamaño ni en su fecha, hizo que analizaramos a fondo las características de esta nueva “moda” observando que los ordenadores en los que habíamos detectado algún fichero modificado, tenían mas de 700 afectados, y cada uno de ellos lanzaba un malware de distinto nombre y ubicación… muy temible !!!

Por ello estudiamos la manera de no solo limpiar o restaurar los ficheros modificados, que ya lo hace el VirusScan de McAfee, sino además de ver el fichero que lanza cada uno de ellos, y si existe en el ordenador, enviar una copia del mismo a C:\muestras y pedir que nos sea enviada para analizar, asi como eliminarla de su ubicación inicial, para con ello no solo desinfectar los ficheros infectados por este virus sino además eliminar sus complementarios, así como poder analizar estos últimos y desarrollar nuevas utilidades para controlarlos, o añadir su control a la nueva ELIWBOY.EXE segun proceda.

Con esta nueva utilidad salimos al paso de lo que puedan intentar lograr con  este nuevo medio de lanzamiento de troyanos, que pueden propagarse con dificultad de detección por lo antes indicado, si bien reconocemos que se ha abierto una nueva vía que nos va a dificultar mas el control de malwares… pero para esto estamos !

saludos

ms, 8-7-2010