RootKit ZBOT, que se delata por el doble acento, de gran incidencia actualmente

Publicado el 26 enero 2010 ¬ 18:37 pmh.mscComentarios desactivados en RootKit ZBOT, que se delata por el doble acento, de gran incidencia actualmente

Hace unos años, el BugBear.B se delataba por la aparición de un “doble acento” cuando en castellano se quería acentuar una letra, debido a un bug de su autor, al no haber utilizado tabla de caracteres que contemplara las letras acentuadas (en idioma inglés no aparecía al no acentuar)

Desde entonces han sido numerosos los troyanos que se les ha visto el plumero por ello, pero solo los que escriben en castellano, claro, y el resto del mundo angloparlante no se enteraban

Tambien algunas aplicaciones “inocentes” adolecían de dicho defecto, por lo indicado en su creación.

Y es ahora cuando tenemos una avalancha de detecciones por dicho motivo, debido a una familia muy en boga de Troyanos, que si bien se esconden al máximo con RootKit, se delatan por ello.

Esta gama de troyanos ROOTKIT son la familia de los ZBOT, que empezaron utilizando el nombre de TWEX o TWEXT.EXE, siguiendo con nombres como OEMBIOS.EXE, RUN64DLLSYS.EXE, SDRA64.EXE (los que mas) y los últimos con 4 letras centrales cambiantes, MSxxxx32.EXE, aparte de otras varias con pocas incidencias.

Ellos pueden llegar a traves de mails con falsos remitentes (DHL, UPS, etc), por downloaders, como el Bredolab,  como tambien por links a webs infectadas, etc

Todos los conocidos hasta la fecha, los detectamos y eliminamos con el ELISTARA.EXE (y el ELINOTIF.DLL complementario en la misma carpeta), el cual pide reiniciar para completar la eliminacion, tras lo cual se elimina dicho troyano, que aparte de visualizarlo por el doble acento, ralentiza el ordenador de forma apreciable.

Además, si el ELISTARA detecta alguna variante del mismo, pedirá muestra para analizar e implementar su control y eliminación en la siguiente version (diaria) de dicha utilidad.

Sirva lo indicado para aclarar las múltiples consultas que por HotLine recibimos al respecto, asi como para solucionar al momento el problema, aplicando lo indicado

Mencionar que además, para las variantes que pudieran propagarse por pendrive, una vez mas recomendamos vacunar ordenadores y pendrives con el ELIPEN.EXE

saludos

ms, 26-1-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies