Nueva variante de BUZUS CRLL

Publicado el 26 febrero 2010 ¬ 11:58 amh.mscComentarios desactivados en Nueva variante de BUZUS CRLL

Avisamos sobre una variante de BUZUS de lss muchos que controlamos, pero que solo uno de los que conocemos era similar, al que indentificamos en su día como REFROSO, y es que como caracteristica sobresaliente tiene que al fichero con el que infecta los pendrives les pone nombre con caracteres superiores al 128 de la tabla ASCII, lo cual los hace innombrables, como por ejemplo el de este que llama el AUTORUN.INF asi: 

open=System\Drivers\¥¶¾³¿¸¤£ù²¯²

lo cual dificulta su detección al no tener extensión típica además de usar nombre tan singular.

La otra variante anterior usaba otro nombre de similares caracteristicas, el cual mantiene en cada instalación incluso con diferentes equipos.

Como características sobresalientes podemos decir que se copia con el nombre de RAIDHOST.EXE en la carpeta de windows, pudiendo llegar por P2P, por mail, descargado de cualquier web, etc, figurando como nombre interno MIRC, “mIRC® is a Registered Trademark of mIRC Co. Ltd.”, version 6.17, si bien en la otra ocasion ve.ía con el mismo nombre de RAIDHOST pero con nombre interno VNCVIEWER, de “tigthVNC”, ambos evidentemente falseados, claro.

Además crea en la carpeta “drivers”, que cuelga de la de sistema, el dichoso fichero ¥¶¾³¿¸¤£ù²¯²
 como se ve en el AUTORUN.INF de los pendrives que infecta: 

open=System\Drivers\¥¶¾³¿¸¤£ù²¯²

En consecuencia se propagará a traves de pendrive a todos los ordenadores no protegidos con el ELIPEN en los cuales se inserten pendrives que hayan sido infectados en ordenadores con dicho virus, por lo cual, una vez mas, se recomienda vacuanr ordenadores y pendrives con nuestro ELIPEN.EXE

Ya estando controlado el primero por el actual ELISTARA, este último pasamos a controlarlo a partir de la versión de hoy 20.42 que estará disponible en nuestra web a partir de las 15 h GMT.

Es muy fácil que pase desapercibido, y dado que se conecta a servidores IRC remotos, de los que puede descargar  los malwares que colocara allí el CODER autor del mismo, que pueden no ser aun conocidos por los antivirus, mucho cuidado con él !

saludos

ms, 26-2-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies