IMPORTANTE DESCUBRIMIENTO QUE AFECTA A LOS USUARIOS QUE HAN TENIDO (O TIENEN) EL PROXY EXI
A raiz del analisis indicado en https://blog.satinfo.es/?p=23870 , hemos descubierto que muchos de los ordenadores que han tenido el PROXY EXI, tienen el BACKDOOR SIMDA, muy oculto por la actuacion de un temporal (que se elimina sin dificultad con el ELISTARA si el usuario acepta eliminar temporales) y de un fichero de nombre variable para cada ordenador, del tipo c_726519.nls, de los que todos tenemos varios conteniendo los códigos de lenguaje, sin que en este caso tenga nada que ver, solo la apariencia por el nombre del fichero. Dichos ficheros están ubicados en la carpeta de sistema, normalmente, en los sistemas actuales, en C:\windows\system32\
Ya habíamos visto que el BACKDOOR SIMDA está ubicado en el fichero ACPI.SYS, de igual nombre que el driver de windows, que está en C:\windows\system32\drivers , pero cuando está activo el NLS en cuestion, al querer ver dicho ACPY.SYS lo que muestra es el del original del sistema, ocultando el BACKDOOR SIMDA que contiene.
Solo arrancando con otro medio, como un LIVE CD. BAR PE o colocando el disco duro como esclavo, se descubrirá dicho backdoor en el ACPI.SYS y podrá eliminarse.
Avisamos de ello para que quienes han tenido infección con dicho PROXY EXI, aunque ya lo hayan eliminado, revisen el ordenador en cuestión, ante la posibilidad de aun tener un BACKDOOR SIMDA residente, si bien para ello habrán de arrancar con otro medio y lanzar bien el ELISTARA actual, que detectará y eliminará el ACPI.SYS si está infectado, tras lo que debe comprobarse que windows lo reponga del DLLCACHE (es el driver de control de energía), y si no lo ha hecho, mejor copiarlo de otro sistema igual, en la carpeta de drivers, especialmente si se trata de un portátil.
Como colofón cabe indicar que el PROXY EXI y consecuenctemente este BACKDOOR SIMDA es descargado por los mismos servidores maliciosos que descargan el SIREFEF, por lo que pudiera estar hecho por el mismo grupo de hackers. No se ha visto en los SIREFEF sin el PROXY EXI, dicho BACKDOOR SIMDA, pero si en los que hemos detectado los dos, pero lo atribuimos a que ha sido por el PROXY EXI, aunque no se puede ratificar, claro.
El ACPI.SYS ya está muy controlado, pero escondido por el NLS, por lo que aunque muchos AV lo controlan, no siempre estos lo detectarán en condiciones normales:
El preanalisis del ACPI.SYS infectado con BACKDOOR SIMDA, subido al virustotal, ofrece este informe:
Nombre Fichero : ACPI.SYS
SHA1: ce55c4cb733f088958ce74d23ea8b671f7a99389
MD5: c6811f0f6a149516ba6fb048566bfc91
File size: 184.6 KB ( 189056 bytes )
File type: Win32 EXE
Detection ratio: 27 / 43
Analysis date: 2012-01-13 10:15:09 UTC ( 7 minutes ago )00Antivirus Result Version Update
AhnLab-V3 – 2012.01.12.02 20120112
AntiVir TR/Rootkit.Gen2 7.11.21.9 20120113
Antiy-AVL – 2.0.3.7 20120113
Avast Win32:RLoader-B 6.0.1289.0 20120112
AVG Agent3.WJV 10.0.0.1190 20120113
BitDefender Trojan.Generic.6377555 7.2 20120113
ByteHero – 1.0.0.1 20120111
CAT-QuickHeal Trojan.DNSChanger 12.00 20120113
ClamAV – 0.97.3.0 20120113
Commtouch – 5.3.2.6 20120113
Comodo UnclassifiedMalware 11254 20120113
DrWeb Trojan.Rodricter.1 5.0.2.03300 20120113
Emsisoft Virus.Win32.RLoader!IK 5.1.0.11 20120113
eSafe Win32.TRRootkit 7.0.17.0 20120111
eTrust-Vet – 37.0.9679 20120113
F-Prot – 4.6.5.141 20120112
F-Secure Trojan.Generic.6377555 9.0.16440.0 20120113
Fortinet W32/RLoader.A 4.3.388.0 20120113
GData Trojan.Generic.6377555 22 20120113
Ikarus Virus.Win32.RLoader T3.1.1.113.0 20120113
Jiangmin Win32/RootkitReLoader.a 13.0.900 20120112
K7AntiVirus Trojan 9.125.5916 20120111
Kaspersky Virus.Win32.RLoader.a 9.0.0.837 20120113
McAfee Artemis!C6811F0F6A14 5.400.0.1158 20120113
McAfee-GW-Edition Artemis!C6811F0F6A14 2010.1E 20120113
Microsoft Trojan:WinNT/Simda.gen!A 1.7903 20120113
NOD32 Win32/Agent.SUC.Gen 6791 20120113
Norman W32/Suspicious_Gen2.SHSOU 6.07.13 20120112
nProtect Gen:Variant.Buzy.3764 2012-01-12.01 20120113
Panda Trj/CI.A 10.0.3.5 20120112
PCTools Trojan.Gen 8.0.0.5 20120113
Prevx – 3.0 20120113
Rising – 23.92.04.02 20120113
Sophos – 4.73.0 20120113
SUPERAntiSpyware – 4.40.0.1006 20120113
Symantec Trojan.Gen 20111.2.0.82 20120113
TheHacker Trojan/DNSChanger.wxu 6.7.0.1.375 20120110
TrendMicro – 9.500.0.1008 20120113
TrendMicro-HouseCall – 9.500.0.1008 20120113
VBA32 – 3.12.16.4 20120112
VIPRE Trojan.Win32.Generic!BT 11390 20120113
ViRobot – 2012.1.13.4879 20120113
VirusBuster – 14.1.164.0 20120112
saludos
ms, 13-1-2012
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.