Primera experiencia que tenemos de infeccion con MABEZAT.A
A traves de un cliente tenemos noticia de que el VirusScan le ha detectado tener codificados los ficheros de Word (.DOC) , de Excel (.XLS) y tener ejecutables con el MABEZAT.A
Buscando informacion al respecto, vemos que McAfee indica que se trata de un gusano que se ejecuta a traves del autorun.inf de los pendrives (en ordenadores que no estan protegidos por el ELIPEN)
AUTORUN.INF con el que se propaga el MABEZAT.A :
En los pendrive infectados crea estos dos ficheros:
•[UNIDAD]:\zPharaoh.exe
•[UNIDAD]:\autorun.inf
y se copia ademas a sí mismo en redes con recursos compartidos protegidas por contraseñas débiles con los siguientes nombres de usuario:
•anonymous
•administrator
En tal caso de copia con estos nombres en las carpetas compartidas:
•My documents .exe
•Readme.doc .exe
A continuación, el gusano busca archivos .exe en el equipo comprometido y los infecta al realizar las acciones siguientes:
•Codifica el contenido de los archivos originales
•Actualiza los archivos nuevos del recurso, por lo que muestra el icono del archivo original
.El gusano, a continuación, busca los archivos de datos en el sistema infectado y les codifica
•.hlp
•.pdf
•.html
•.txt
•.aspx
•.psd
•.rtf
•.htm
•.ppt
•.php
•.asp
•.cpp
•.xls
•.doc
•.pdf
•.mdb
Evidentemente se debe desinfectar el ordenador a base de arrancar en MODO SEGURO y, con el VirusScan, eliminar los ficheros gusano y decodificar los ficheros codificados por el malware.
Y NO CONECTAR ORDENADORES LIMPIOS CON LOS INFECTADOS, hasta que estén todos limpios, pues de lo contrario se volverían a infectar.
Como colofón decir que la infeccion inicial entra en una Red a través de un pendrive infectado, o a través de un portátil infectado que se conecte a dicha Red, y que luego se propaga a toda la red propagando el virus y codificando todos los ficheros de datos de todos los ordenadores!
Como sea que hay poca conocimiento de este virus, y considerando oportuno informar al respecto, hemos editado esta Noticia para quien pudiera interesar.
saludos
ms, 6-5-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.