NUEVA VARIANTE DE ROOTKIT NAPOLAR AW (PROVOCA REINICIOS AL REINICIAR EN CUALQUIER MODO)
Un nuevo y muy peligroso rootkit que afecta al registro y a ficheros de sistema del usuario afectado, pasamos a identificarlo a partir del ELISTARA 29.00 de hoy
Como sea que impide arrancar de nuevo por reiniciar el sistema al querer logarse, es necesario arrancar con nuestro LIVE CD o con un pilitos o BartPE, y, en dicho modo, lanzar el ELISTARA 29.00 o superior explorando la unidad afectada.
Asi se detectarán por exploración los ficheros infectados, y luego, arrancando con el CD de instalacion y lanzando una REPARACION DE SISTEMA, se podrá restablecer el arranque. De todas formas es MUY IMPORTANTE DISPONER DE COPIA DE SEGURIDAD al día, pues de lo contrario pueden perderse los datos.
Ante estos malwares que son descargados por un downloader (como el FAKE WRITE en este caso), y que pueden ser diferentes en cada descarga, es muy importante, además de lo de la COPIA DE SEGURIDAD AL DIA, configurar la sensibilidad heuristica del VirusScan (en la Consola de VirusScan -> Analizador en Tiempo Real -> Nivel de sensibilidad) a nivel ALTO, para, con su heuristica avanzada poder evbitar su intrusión.
Debe considerarse que aparte de los 100 millones de variantes de virus conocidos, hay un promedio de 250.000 nuevas variantes diarias, las cuales muchas aun no son controladas por ningun antivirus …
El preanalisis de viristotal ofrece este informe:
MD5 43e012a530b6661d60266be09610fd67
SHA1 bc1f33be5cfac765011a0b8141b733120634eb75
File size 174.5 KB ( 178688 bytes )
SHA256: e863e7f462b174370571b977a87f7761db549cd52675fe5db3433d0810bcde50
Nombre: lsass.exe
Detecciones: 22 / 49
Fecha de análisis: 2013-12-18 16:06:33 UTC ( hace 0 minutos )
0 1 Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Ad-Aware 20131211
Agnitum 20131217
AhnLab-V3 Spyware/Win32.Zbot 20131218
AntiVir TR/Injector.178688 20131218
Antiy-AVL 20131218
Avast 20131218
AVG Win32/Cryptor 20131218
Baidu-International Trojan.Win32.Generic.ai 20131213
BitDefender 20131211
Bkav 20131218
ByteHero 20130613
CAT-QuickHeal 20131218
ClamAV 20131218
CMC 20131217
Commtouch 20131218
Comodo UnclassifiedMalware 20131218
DrWeb 20131218
Emsisoft 20131218
ESET-NOD32 a variant of Win32/Injector.ATLI 20131218
F-Prot 20131218
F-Secure Gen:Variant.Zusy.75482 20131218
Fortinet W32/Generic.ATLI!tr 20131218
GData Gen:Variant.Zusy.75482 20131218
Ikarus Trojan-Ransom.Win32.PornoAsset 20131218
Jiangmin 20131218
K7AntiVirus Trojan ( 004916851 ) 20131218
K7GW Trojan ( 004916851 ) 20131218
Kaspersky Backdoor.Win32.Napolar.aw 20131218
Kingsoft 20130829
Malwarebytes Backdoor.Bot.ED 20131218
McAfee PWSZbot-FMT!43E012A530B6 20131218
McAfee-GW-Edition Artemis!43E012A530B6 20131218
Microsoft VirTool:Win32/Injector.gen!EE 20131218
MicroWorld-eScan 20131218
NANO-Antivirus 20131218
Norman Suspicious_Gen4.FMWHU 20131218
nProtect 20131218
Panda Trj/CI.A 20131218
Rising 20131218
Sophos Mal/Generic-S 20131218
SUPERAntiSpyware 20131218
Symantec WS.Reputation.1 20131218
TheHacker 20131218
TotalDefense 20131217
TrendMicro 20131218
TrendMicro-HouseCall TROJ_GEN.F47V1217 20131218
VBA32 20131218
VIPRE 20131218
ViRobot 20131218
Dicha version del ELISTARA 29.00 que controla la cadena de la muestra que nos ha llegado de dicho malware, estará disponible en nuestra web a partir de las 19 h CEST de hoy
y seguiremos informando a medida que vayamos conociendo mas particularidades del mismo.
saludos
MS, 18-12-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.