Aclarando a fondo el POPUREB, DETECCION Y ELIMINACION

Como sea que ayer corrieron noticias alarmantes al respecto y nos hemos centrado en la búsqueda de mas información y soluciones no agresivas, que no causaran pérdida de información al usuario afectado, ofrecemos este artículo de Microsoft, en inglés original, dado que la traducción parece que se malinterpretó por algun medio, cuando no hay necesidad de llegar a extremos no deseables:

_________

The bootkit malware Trojan:Win32/Popureb.E has made some changes in its

code compared to previous samples (specifically, Trojan:Win32/Popureb.B), and now it introduces a driver component to prevent the malicious MBR and other malicious data stored as disk sectors from being changed. The driver component protects the data in an unusual way – by hooking the DriverStartIo routine in a hard disk port driver (for example, atapi.sys). The following steps describe the trick:

1.It calls IoGetDeviceAttachmentBaseRef( ) to retrieve the bottom device object in the disk device stack, that is, the real physical disk device object.
2.Then it hooks the DriverStartIo routine in the found device’s DRIVER_OBJECT structure (see the picture below).

3.The hooked DriverStartIo routine monitors the disk write operations: If it finds the write operation is trying to overwrite the MBR or the disk sectors containing malicious code, it simply replaces the write operation with a read operation. The operation will still succeed, however, the data will never actually be written onto the disk.
If your system is infected with Trojan:Win32/Popureb.E, we advise fixing the MBR using the Windows Recovery Console to return the MBR to a clean state

Fuente: microsoft.com

_____________

Traducción personalizada del párrafo anterior:

El malware bootkit Trojan:Win32/Popureb.E ha sufrido algunos cambios en su código en comparación con muestras anteriores (específicamente, Trojan:Win32/Popureb.B), y ahora presenta un componente de control para evitar que el MBR malintencionado y otros datos maliciosos almacenados en sectores fícicos del disco, se puedan modificar. El componente controlador protege los datos de una manera inusual, utilizando la rutina de DriverStartIo con enlace a un controlador de puerto de disco duro (por ejemplo, atapi.sys).

1. Llama a IoGetDeviceAttachmentBaseRef () para recuperar el objeto de dispositivo de abajo en la pila de dispositivos de disco, es decir, el objeto de dispositivo de disco físico real.

2. A continuación, enlaza la rutina DriverStartIo en la estructura DRIVER_OBJECT del dispositivo encontrado

 3. La rutina de DriverStartIo enganchada supervisa las operaciones de escritura de disco: si encuentra que la operación de escritura intenta sobrescribir el MBR o los sectores de disco que contienen código malicioso, simplemente sustituye la operación de escritura con una operación de lectura. La operación será ejecutada, pero los datos no llegarán a ser escritos en el disco.

Si su sistema está infectado con Trojan:Win32/Popureb.E, aconsejamos sobreescribir el MBR usando la consola de recuperación de Windows para devolver el MBR a un Estado limpio

 ________________

Parece ser que el meollo de este nuevo engendro reside en el MBR, el cual es infectado y protegido contra escritura y no puede corregirse si no se arranca con otro medio, como es el CD de instalacion, y se procede a corregirlo desde la Consola de Redcuperacion, con un FIXMBR si es XP o con el BOOTSEC /NT60 C: para el WINDOWS 7  (ver mas informacion  de lo último, en otras noticias del blog, buscando BOOTSEC)

Luego convendrá eliminar los restos que el virus haya dejado en ficheros, bien restaurando el sistema a un punto anterior a la infección o lanzando el antivirus que lo controle. En cualquier caso, puede buscarse con el ELIMD5.EXE si algun fichero cumple el hashs del MD5,  4f7344c7e6ac3d270859b3d3b008844d  , que ya indicabamos en la anterior noticia al respecto .

Y si dicho fichero no es detectado por el VirusScan, enviarnoslo para analizar, gracias

saludos

ms, 29-6-2011

ANEXO POSTERIOR:

Cuando Popureb.E se ejecuta, realiza las siguientes acciones:
Guarda la siguiente copia de sí mismo
“%AllUsersProfile%\Documents\My Videos\Van[CARACTERES ALEATORIOS].tmp”
 
Crea los siguientes ficheros
“%AllUsersProfile%\Documents\My Videos\PulgFile.log”
“%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.IE”
“%Windir%\VC.ini”
“%UserProfile%\Desktop\Internet Explorer.IE”

Payload: Descarga ficheros.
Modifica en MBR cuyo código es protegido por técnicas Stealth

ms.