Sobre las ultimas novedades del SIREFEF y su deteccion y control con las nuevas versiones de SPROCES / ELISTARA / ELISIREF

Llegandonos cada día nuevas variantes del SIREFEF (ZERO ACCESS) , A CUAL PEOR, si bien hasta ahora lo  identificabamos con el proceso del junction sobre fichero de cero bytes en C:\windows, con otro en carpeta inaccesible simulando la de una desinstalacion de parches de Microsoft, que con el SPROCES veiamos algo similar a

Proceso extraño 833274265:1715361230.exe

(numeros aleatorios que cambian en cada instalacion)

ahora en las nuevas variantes ya no se ve ni siquiera dicho proceso con el SPROCES, y no digamos que el Rootkit se oculta de mala manera y solo cabe buscar una carpeta inaccesible de entre las de desinstalacion de parches de windows (entre unas pocas miles …)

Por ello hemos buscado otra manera de identificar cuando hay sospecha de la existencia de dicho malware, y lo avisamos para que se pruebe la ultima version de la utilidad ELISIREF, la que actualizamos contuamente con nuevas detecciones de dicho engendro.

Pero cuando usar el ELISIREF ? , pues como sea que lo primero que usamos cuando sospechamos de un malware, es el ELISTARA, ya en él se avisará si de detecta una carpeta con las características especiales donde se oculta este malware, y si es el caso, proceder con el ELISIREF , y tras reiniciar las veces que lo pida, ver el C:\infosat.txt y enviarnos muestra del mismo y de los ficheros que en él se pidan para analizar.

Y lo mismo veremos con el SPROCES, que además de ver la relacion de ficheros en uso y de las claves que los lanzan en modo automático o manual, y de si faltan parches criticos (SP3, MS08-067, etc) y de si el MBR está alterado, al igual que si el HOSTS es original o modificado -lo cual puede haber sido voluntario-, todo lo último no visible con otros logs similares como el del antiguo HJT, ahora con la nueva version SPROCES 5.9 nos informará tambien de la existencia de la carpeta de marras, que posiblemente será la contenedora del SIREFEF, y convendrá proceder en consecuencia con el ELISIREF

Afortunadamente nuestros tecnicos tienen mucha experiencia con todos los malwares existentes, mas de 68 millones en la actualidad, gracias a que varios de ellos llevan mas de 20 años en nuestro equipo, y la experiencia es un grado …, pero hay que reconocer que el nivel alcanzado por los actuales RootKit como este SIREFEF (ZEROACCESS), llegan a cotas insospechadas, muy superiores a Confickers, Stuxnet, Dorkbots y similares, para lo cual es necesaria la constante investigación de las nuevas descargas de los servidores que contienen dichos malwares y la implementacion y actualizacion de nuestras utilidades, además de nuevos métodos de detección y eliminación, como ha sido el caso.

Confiamos poder seguir ofreciendo el control y eliminación de cada gramo de hielo de estos icebergs, si bien cada día que pasa vemos que lo desconocido por debajo de lo visible, es muy superior a lo que se ve por encima de la superficie, por lo que recomendamos la máxima precaucion y sentido comun en el uso del ordenador y especialmente de internet, que cada día usan mas los ya 7.000 millones de personas que poblamos la Tierra, y no todos con buenas intenciones …

saludos

ms, 4-11-2011