NOVEDAD IMPORTANTE A PARTIR DEL ELISTARA 22.83 : COMPRUEBA SI EN EL MBR HAY TECNICAS STEALTH

Publicado el 17 marzo 2011 ¬ 13:49 pmh.mscComentarios desactivados en NOVEDAD IMPORTANTE A PARTIR DEL ELISTARA 22.83 : COMPRUEBA SI EN EL MBR HAY TECNICAS STEALTH

 

Estamos sufriendo muchos ataques que afectan al sector MBR (Master Boot Record) del disco duro, que es lo primero que se procesa al arrancar cualquier ordenador desde el Disco duro, y si en él se ha instalado un virus con técnicas Stealth (de ocultamiento), este puede permanecer allí sin ser detectado por los antivirus.

Como sea que estos últimos días hemos informado sobre nuevas variantes de WORM VBNA (que vamos controlando con el ELIVBNA.EXE), el cual instala en el MBR variantes del Virus ALUREON, con tecnicas Stealth, y este descarga variantes de troyano Kastusha, que finalmente instalan FAKE ALERT RENOS en el ordenaodr, si bien todas ellas las vamos controlando con las nuevas verisones del ELISTARA, el punto intermedio del ALUREON no siempre lo podíamos detectar, debido a sus tecnicas de ocultamiento, ya que algunas de sus variantes, cuando estan en RAM, se ocultan y muestran en su lugar el MBR original, como hacía el primero de los virus que casi nos volvió locos, el ANTITEL o TELECOM, alla a principios de los ’90, y que codo a codo con los tecnicos de McAfee, que no nos creían cuando se lo explicabamos, logramos controlarlo.

Pues ahora con el ALUREON nos estaba mareando por lo mismo, que cuando está en memoria nos muestra el MBR correcto, pero el equipo de SATINFO, en mesa redonda. ha ideado un sistema que nos permitirá saber si el MBR inspeccionado tiene tecnicas stealth, y en tal caso el ELISTARA informará, tanto interactivamente como en el informe que crea, C:\infosat.txt, indicando “Probable infección en sector MBR con virus de técnicas Stealth”, ante lo cual podremos proceder correctivamente, arrancando con otro medio, bien con el CD de instalación, bien con un LIVECD, o con otro medio segun equipo (pendrive de arranque desde USB, disquete si el equipo tiene disquetera, etc)

Lo mas lógico en el caso de tener dicha detección, es arrancar con el CD de instalacion de windows, pulsar R para entrar e Consola de Recuperacion, y desde allí lanzar el FIXMBR , lo cual sobreescribirá dicho sector de arrnanque con el código de windows, limpiando el registro de codigo virico que hubiera, y asi, tras reiniciar, ya no entraría el virus en memoria y podría trabajarse normalmente, o se podría buscar mas virus a eliminar, si fuera el caso.

Así pues informamos que a partir del ELISTARA de hoy, 22.83, se contará con la detección de tecnicas Stealth en MBR, lo cual estará disponible en nuestra web desde las 19 h CET.

saludos

ms, 17-3-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies