Nuevo malware complejo, al propagar gusano , que se propaga por pendrive, y en el caso examinado, infectar con Sality polimorfico

Una nueva bestia parda, con 6 procesos activos (contra lo que poco pueden hacer los antivirus ya que a medida que van eliminando unas, las otras las regeneran), y que además de propagar con un gusano AUTORUN.BBD, nos ha infectado con el SALITY todos los ficheros ejecutables que ha encontrado.

Como malicia principal está la de que modifica el SAFE BOOT del registro, impidiendo arrancar en MODO SEGURO, que es la manera de conseguir eliminarlo.

Esto ya lo hace el BAGLE (emtre otros) y segun la variante, conviene lanzar la utilidad de eliminacion (en el BAGLE el ELIBAGLA) para restaurar la clave, reiniciar rapidamente (antes de que la regenere) pero en MODO SEGURO y asi lanzar de nuevo la utilidad, que ya en dicho modo, lo puede elimina, lo cual haremos en este caso con el ELISTARA.

No sabemos si el autor del gusano lo ha lanzado IN THE WILD infectado con el SALITY o es que un usuario infectado con el SALITY le ha entrado dicho virus, con lo cual ha hecho un cocktel explosivo !

Y además tiene programado propagar por pendrive, con lo que su prppagacion la hace el usuario al ir con un pendrive infectado de un ordenador a otro…

Como caracteristica singular tiene que oculta las extensiones de los ficheros COM y EXE, aunque el usuario tenga configurado ver extensiones…

Ademas oculta los ficheros de sistema e intercepta la ejecución de ficheros “MSCfile” y “REGfile” (extensionnes .MSC y .REG)

Si bien los crea ocultos, el fichero que autoejecuta desde el AUTORUN.INF de los pendrives es un MS-DOS.COM, que tambien ambos crea en C:\

Ademas intercepta una serie de ficheros con un debugguer, ejecutando el infectado cada vez que se intenta ejecutar el interceptado.

Aparte de la eliminacion de este gusano que ya la hemos implementado en el ELISTARA de hoy, 21,61, hace falta desinfectar todos los ejecutables infectados con el SALITY, si asi lo ha hecho (punto que no podemos precisar por el momento)
saludos

ms, 14-9-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies