RootKit ZBOT, que se delata por el doble acento, de gran incidencia actualmente
Hace unos años, el BugBear.B se delataba por la aparición de un “doble acento” cuando en castellano se quería acentuar una letra, debido a un bug de su autor, al no haber utilizado tabla de caracteres que contemplara las letras acentuadas (en idioma inglés no aparecía al no acentuar)
Desde entonces han sido numerosos los troyanos que se les ha visto el plumero por ello, pero solo los que escriben en castellano, claro, y el resto del mundo angloparlante no se enteraban
Tambien algunas aplicaciones “inocentes” adolecían de dicho defecto, por lo indicado en su creación.
Y es ahora cuando tenemos una avalancha de detecciones por dicho motivo, debido a una familia muy en boga de Troyanos, que si bien se esconden al máximo con RootKit, se delatan por ello.
Esta gama de troyanos ROOTKIT son la familia de los ZBOT, que empezaron utilizando el nombre de TWEX o TWEXT.EXE, siguiendo con nombres como OEMBIOS.EXE, RUN64DLLSYS.EXE, SDRA64.EXE (los que mas) y los últimos con 4 letras centrales cambiantes, MSxxxx32.EXE, aparte de otras varias con pocas incidencias.
Ellos pueden llegar a traves de mails con falsos remitentes (DHL, UPS, etc), por downloaders, como el Bredolab, como tambien por links a webs infectadas, etc
Todos los conocidos hasta la fecha, los detectamos y eliminamos con el ELISTARA.EXE (y el ELINOTIF.DLL complementario en la misma carpeta), el cual pide reiniciar para completar la eliminacion, tras lo cual se elimina dicho troyano, que aparte de visualizarlo por el doble acento, ralentiza el ordenador de forma apreciable.
Además, si el ELISTARA detecta alguna variante del mismo, pedirá muestra para analizar e implementar su control y eliminación en la siguiente version (diaria) de dicha utilidad.
Sirva lo indicado para aclarar las múltiples consultas que por HotLine recibimos al respecto, asi como para solucionar al momento el problema, aplicando lo indicado
Mencionar que además, para las variantes que pudieran propagarse por pendrive, una vez mas recomendamos vacunar ordenadores y pendrives con el ELIPEN.EXE
saludos
ms, 26-1-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.