MEJORA SUSTANCIAL DEL ANALISIS HEURISTICO EN BUSCA DEL VBNA (VOBFUS), A PARTIR DE HOY, TANTO EN EL ELIVBNA COMO EN EL ELISTARA

Como sea que este troyano VBNA o VOBFUS hemos visto que es polimorfico, de modo que la ejecucion de una muestra, infecta el ordenador de manera que se descarga otra variante del mismo, que ya no controla la utilidad hecha para el inicial, y dado que son bastantes los ordenadores en los que actualmente detectamos MBR INFECTADO CON TECNICAS STEALTH, al pasar el ELISTARA, sin detectar nada mas, pensamos que puede haber sido causado por algun VBNA no controlado, a partir del ELIVBNA 2.19 y tambien del ELISTARA 23.81, ambos de hoy, se controlará y pedirá muestras de los ficheros que se vea que son lanzados por claves del registro con determinado valor y parámetros, de la ruta donde los ubica dicho engendro, y que no hemos visto que sea utilizada por aplicaciones habituales normales.

Una vez recibamos dichos ficheros, que se aparcan en la carpeta C:\muestras, de manera que ya no sean ejecutados en próximos reinicios , los pasaremos a analizar y , si procede, implementar su control y eliminación en nuestras próximas utilidades, de lo cual informaremos.

Hay que resaltar que una vez eliminados los ficheros y claves, quedará por restaurar el MBR, lo cual debe hacerse arrancando con el CD de instalación y procediendo desde la cónsola de recuperación a su restauración por el original, segun sea el Sistema operativo empleado (FIXMBR en XP, o con el BOOTSEC /NT60 C: para el WINDOWS 7). Evidentemente hablamos de ordenadores con particiones normales, no dobles particiones windows/Linux o especiales con Partition Magic por ejemplo, en cuyos casos deberá  restablecerse el MBR original que se tenga salvado adecuadamente.

Lo lógico en tales casos es que el ELISTARA detecte MBR INFECTADO CON TECNICAS STEALTH, pero si por la razón que fuera, el ALUREON del MBR no estuviera en memoria y lo detectara tal cual, el mismo ELISTARA lo eliminaría restaurando la particion original, pero si se arranca desde el disco duro infectado… el MBR es lo primero que se ejecuta, y con el código vírico en memoria, lo protege con técnicas Stealth.
Esperamos que con ello podamos detectar y controlar las nuevas variantes de esta familia, que, visto lo que hace, nos daba miedo pensar en una infeccion masiva que no supieramos por donde pillar…

saludos

ms, 6-9-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies