Mas información sobre el TDSS Rootkit, Rorpian, TDL4, ALUREON y AUTORUN.worm.aabl

En tomatically.html”>este informe , Sergey Golovanov de Kaspersky Lab relaciona los ficheros pornmovs.lnk y myporno.avi.lnk como los integrantes y propagadores del peligroso Rootkit TDSS, que ellos identifican como TDL4 y nosotros ya lo hicimos en su día como RORPIAN, y al parecer está relacionado con el ALUREON, que se ubica en el MBR, del cual ya controlamos alguno con el ELISTARA, pero a diario aparecen miles de nuevos malwares, y algunos de ellos afectan al código del MBR, por lo que pueden pasar desapercibidos, y de hecho cuando no se encuentra la causa en ficheros, virus, troyanos o rootkits, pasamos a sobreescribir el código del MBR, arrancando con el CD de instalacion u otro medio, como el LIVE CD de Linux que disponen los asociados a SATINFO, que incluye utilidad para corregir dicho MBR contemplando todos los sistemas actuales.

Y es que la noticia que se ha publicado al respecto recientemente (arriba indicada) hace revivir la sofisticación usada para propagación y ocultación de variantes de malwares que llegan a extremos que rizan el rizo:
· Ubicación en el MBR , a veces con técnicas Stealth, de dificil detección y eliminación.

· Rootkit impidiendo visualización de claves y ficheros relacionados

· Propagación a través de ficheros autoejecutados CPL/LNK en pendrives (como el Stuxnet), además de por los medios habituales de AUTORUN.INF

· Propagación a través de comparticiones de Red, como el Conficker.
sugerimos recuerden lo indicado sobre el RORPIAN y su eliminación, segun lo indicado en https://blog.satinfo.es/?p=13944

saludos

ms, 19-6-2011