EL DOWNLOADER DX-DIAG anexado al falso mail de CORREOS, descarga FAKE TOOL e infecta el MBR con una variante del ALUREON con tecnicas Stealth que impide su analisis.

Con el ELISTARA vemos repetidamente el aviso de que el MBR está posiblemente infectado con tecnicas Stealth, lo cual ultimamente era señal de que habia el ALUREON y estaba activo, pero ultimamente hemos tenido algunos casos que indican Error al escribir en el MBR, y hemos visto que ello es causado por una nueva cepa de dicho ALUREON, que al recibir el intento de escritura para la comprobacion de existencia de tecnicas Stealth, ha denegado el acceso a la escritura en dicho sector, con lo que en lugar de lo esperado, nos indica dicho mensaje, mientras haya el virus en memoria.

Gracias a nuestra utilidad COPYMBR, si en dicha situacion lanzamos un  COPYMBR /SEGU <ruta> , se creará un fichero -copia de seguridad del MBR, que en dicha situacion será una copia del original, que nos visualiza el virus para engañarnos y ocultar el sector infectado, mostrandonos el bueno, el cual podemos aprovechar para, una vez eliminado el downloader para que no vuelva a infectarnos, luego poder lanzar un COPYMBR /UNDO <fichero-unidad> para restaurarlo, pero eso sí, arrancando con otro medio no infectado, claro !  (colocando el disco infectado como esclavo en un ordenador con el MASTER  limpio, o arrancando con un LIVE CD de Windows)

Una variante del troyano Alureon, que está diseñada para extraer la ubicación de las copias de seguridad de los centros C&C desde imágenes difundidas a través de la Web, fue descubierta por Scott Molenkamp, un investigador de Microsoft.

La familia de troyanos Alureon es bien conocida por su forma de robo de datos. El troyano está diseñado para obtener información confidencial (nombres de usuario, contraseñas, datos de tarjetas de crédito), transmitir datos maliciosos hacia la computadora infectada y tiene la capacidad de modificar la configuración del DNS en aquellos equipos que estaban programados para hacerlo

Esta cepa en particular, a menudo descargada por la familia de programas FakeSysdef “desfragmentador falso”, ha comenzado recientemente a descargar un componente adicional después de que consiguiera introducirse en un sistema.

Tras haber descifrado y analizado este componente (“com32”), el investigador ha descubierto que añade cifrado y funcionalidad de procesamiento de JPG al troyano. Además, el archivo de configuración tiene una serie de URLs alojadas en LiveJournal y WordPress.

“El contenido de cada página, que parecía ser benigna, contiene numerosas y variadas imagenes JPG alojadas en ‘imageshack.us’, un proveedor de imágenes libres”, señala. Sin embargo, un vistazo al código para la recuperación de las páginas reveló que los archivos específicos JPG serían recuperados por el troyano junto con una cadena de 61 caracteres ASCII, que se parece mucho a una contraseña.

“Después de investigaciones adicionales, fui capaz de determinar que, incrustado en cada uno de los archivos JPG, hay un archivo de configuración completo que usa esteganografía” (tecnicas Stealth), reveló. “Una de las secciones críticas del archivo de configuración contiene la lista de servidores de mando y control.

El propósito de los datos alojados fue revelado públicamente, el cual es proporcionar una capa de redundancia y de defensa contra los dominios existentes que podrían estar disponibles”. Fuente

Y estamos ante una proliferacion de falsos mails masivos (aparentando venir de correos) con dicho anexado, por lo que ofrecemos esta información para los “sufridores” de dicho engendro.

saludos

ms, 28-9-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies