SOLUCION A NUEVA VARIANTE DE SIREFEF.F (ZEROACCESS)
Variante del Sirefef que se instala en carpeta de dificil acceso (???\???\???\) por lo que tras lanzar el ELISIREF para eliminar el DESKTOP.INI, el resto debe hacerse manualmente
1.- Renombrar la Carpeta {*******} (por ejemplo: {4a6449b8-ef85-b032-2880-2268992d161e} )que cuelga de C:\Documents and Settings\<USUARIO>\Configuración local\Datos de programa\Google\Desktop\Install\ por ” MALWARE”
(Nota: en Windows7 sería C:\users\<USUARIO>\Appdata\local\Google\Desktop\Install\ )
2.- Buscar el servicio que apunta al “GoogleUpdate.exe” y eliminar el
contenido del Valor “ImagePath” o renombrarlo para que no apunte a
dicho fichero.
3.- Reiniciar Sistema.
4.- Renombrar la Carpeta {*******} (por ejemplo: {4a6449b8-ef85-b032-2880-2268992d161e}) que cuelga de %Archivos de Programa%\Google\Desktop\Install por “MALWARE”
5.- Y eliminar %WinDir%\Assembly\GAC\Desktop.ini (de lo cual se ha encargado el ELISIREF si se ha pasado como indicamos al principio)
El preanalisis de virustotal ofrece este informe:
SHA256: d9e224160df074965a8b8e651fc1e6654a7ee019499ee290face26069370669e
SHA1: 97e3ca3693427cb642a544a6237658e25ee49c44
MD5: cdd77700ac342cbbb566c5c1475ae3e6
Tamaño: 152.0 KB ( 155648 bytes )
Nombre: 1348653740.exe
Tipo: Win32 EXE
Detecciones: 17 / 47
Fecha de análisis: 2013-10-16 15:45:11 UTC ( hace 0 minutos )
0 0 Más detalles Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum 20131016
AhnLab-V3 Backdoor/Win32.ZAccess 20131016
AntiVir BDS/ZeroAccess.A.64 20131016
Antiy-AVL 20131016
Avast Win32:Rootkit-gen [Rtk] 20131016
AVG Crypt_s.EDF 20131016
Baidu-International 20131016
BitDefender 20131012
Bkav 20131016
ByteHero 20130920
CAT-QuickHeal 20131016
ClamAV 20131016
Commtouch 20131016
Comodo 20131016
DrWeb 20131016
Emsisoft Trojan.GenericKDV.1343731 (B) 20131016
ESET-NOD32 a variant of Win32/Kryptik.BMRB 20131016
F-Prot 20131016
Fortinet W32/Kryptik.BJEN!tr 20131016
GData Trojan.GenericKDV.1343731 20131016
Ikarus 20131016
Jiangmin 20131014
K7AntiVirus 20131016
K7GW 20131016
Kaspersky Backdoor.Win32.ZAccess.efuc 20131016
Kingsoft 20130829
Malwarebytes Trojan.Ransom.REL 20131016
McAfee 20131016
McAfee-GW-Edition 20131016
Microsoft Trojan:Win32/Sirefef.P 20131016
MicroWorld-eScan 20131016
NANO-Antivirus 20131016
Norman Suspicious_Gen4.FDBKU 20131016
nProtect 20131016
Panda Suspicious file 20131016
PCTools 20131002
Rising 20131016
Sophos Mal/ZAccess-BL 20131016
SUPERAntiSpyware Trojan.Agent/Gen-Barys 20131016
Symantec 20131016
TheHacker 20131015
TotalDefense 20131015
TrendMicro 20131016
TrendMicro-HouseCall TROJ_GEN.R047H01JF13 20131016
VBA32 20131016
VIPRE Trojan.Win32.Generic.pak!cobra 20131016
ViRobot 20131016
El actual ELISIREF 2.17 ya es suficiente para eliminar el DESKTOP.INI del malware, pero el resto debe hacerse, hoy por hoy, manualmente
saludos
ms, 16-10-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.