FAKE ALERTS Y ROOTKIT DORKBOT, no hay día que no aparezcan nuevas variantes de estos malwares !!!
Como se puede ver en las NOTICIAS del blog, cada día recibimos la visita de alguna nueva variante de estas familias, FAKE ALERT y DORKBOT , por lo que hemos creido conveniente mencionar algunas características de los mismos y consejos para evitarlos y eliminarlos.
De entrada recordar que el CONTROL Y ELIMINACIÓN de todos ellos, lo vamos implementando en nuestra utilidad estrella, el ELISTARA.EXE, que a diario actualizamos, controlando las nuevas variantes de los mismos.
FAKE ALERTS / FAKE TOOLS
Son muchas las variantes que integran esta gran familia de los FAKE : https://blog.satinfo.es/?s=fake
cabiendo distinguir entre los que aparentan ser escaneadores, protectores y eliminadores de virus:
hhttps://blog.satinfo.es/?s=fake+alert
y los que representan ser herramientas de disco duro y utilidades como son los FAKE TOOL:
https://blog.satinfo.es/?s=fake+alert
En general ingresan en los ordenadores al visitar webs comprometidas, y aparentar un escaneo o la detección de problemas, con la oferta correspondiente de solucionarlos, al pulsar en un botón al respecto.
En algunos casos interceptan la ejecución de .EXE, por lo que se requiere renombrar la extensión de la utilidad a emplear (ELISTARA) por .SCR , y otras no permiten ejecutar nada mas que el EXPLORER.EXE, en cuyo caso se debe renombrar el ELISTARA.EXE a EXPLORER.EXE y asi poder lanzarlo.
Se recomienda disponer de dicha utilidad en un pendrive, y arrancando en MODO SEGURO, acceder al mismo y ejecutar dicha utilidad desde el medio indicado.
ROOTKIT DORKBOT
Esta peligrosa familia mantiene a raya a los antivirus mientras está en memoria, evitando ser detectado y consecuentemente eliminado, por lo que recomendamos arrancar con otro usuario no infectado o bien en MODO SEGURO, para evitar que esté residente en memoria, y asi poder verlo y proceder en consecuencia.
Recordamos que muchos usuarios se han dado cuenta de que están infectados con este malware por las modificaciones que hace en los pendrives, en los que oculta las carpetas que encuentra y crea un link con su nombre, cargando dicho malware en tal proceso, por lo que con él se cumple lo de que “por sus hechos los conocereis”, dándose cuenta por ello, sin que los AV hayan detectado infección, pues además de que a diario hay nuevas variantes no conocidas (y no detectadas), las características de ROOTKIT de este malware, impide normalmente que sea detectado, aunque sea de los ya conocidos.
Los pendrives afectados por dicha familia de RootKits, si es de los que ya conocemos, serán restaurados a la normalidad con el ELISTARA, recuperando el acceso a las carpetas originales y eliminando el malware, siempre y cuando no haya sido ya eliminado éste por algun otro método, en cuyo caso deberá procederse manualmente a la recuperación de las carpetas, desde una ventana al DOS y, con el ATTRIB, quitarles los atributos de oculto y eliminar los links creados por el bicho. Para ello podrá lanzarse un ATTRIB X:*.* -s -h -r /S /D , siendo X: la unidad donde esté insertado el pèndrive afectado.
Una idea de la cantidad de los nuevos DORKBOT que aparecen a diario, se puede ver con el buscador de NOTICIAS:
https://blog.satinfo.es/?s=dorkbot
Y cerrando este recordatorio, no nos olvidamos de la gran cantidad de variantes de BANKER y de SPY Z-BOT, así como de los que aprovechan los AUTORUN.INF de los pendrives, todos ellos tambien controlados por el ELISTARA.EXE, aparte de los PALEVOS que controlamos con el ELIPALEVO.EXE
Y esto es solo un mínimo resumen de las mas de 100.000 nuevas muestras unicas que recibe McAfee diariamente, por lo que ante tantos millones de virus conocidos y de los que quedan por conocer, solo cabe aconsejar MUCHO CUIDADO AHI FUERA !!!
Saludos
ms, 2-9-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.