INFECCION DE MODA (BACKDOOR SIMDA – ROOTKIT) QUE IMPIDE EL ACCESO AL FICHERO INFECTADO Y PIDE REINICIAR, sin poder ser detectada ni eliminada por los AV actuales (requiere proceso manual)
EL BACKDOOR SIMDA (rootkit) impide el acceso, escaneo, renombre y eliminación, de un fichero malware *.NLS, sito en la CARPETA DE SISTEMA, con otros .NLS , propios del sistema operativo (extensión de los ficheros de definicion de teclado), que engaña presentando el driver de sistema ACPI.SYS en lugar del malware del mismo nombre, como ya indicamos en :
Como sea que hemos tenido varias incidencias de usuarios que el ELISTARA les pide, tras detectar un troyano, reiniciar para completar la eliminacion, y cada vez que se reinicia lanza el ELISTARA diciendo lo mismo, avisamos que si en el INFOSAT.TXT aparece el mensaje de “DETECTADO TROYANO, reinicie para completar la eliminacion”, y ello se repite en cada reinicio, posiblemente se esté infectado por dicho ROOTKIT que impide ver que se tiene dicho virus, incluso arrancando en MODO SEGURO, pues dicho servicio se lanza incluso en dicho modo.
Es por ello que, una vez sabido el nombre del fichero con acceso denegado, si es uno con extension .NLS sito en la carpeta de sistema, indicamos arrancar con LIVE CD y añadir .VIR a su extension, para asi poder arrancar EN MODO NORMAL y lanzar el ELISTARA que podrá acceder al otro compañero del malware (son dos, el *.NLS y el ACPI.SYS oculto) y eliminarlo, tras lo cual, si se ha hecho en modo NORMAL, windows lo restaurará y con ello se habrá eliminado el peligroso backdoor y podrá reiniciarse normalmente.
Lo malo de este virus es que los antivirus no lo pueden detectar al no tener acceso al fichero en cuestion (ACCESO DENEGADO) y que mientras este está activo, oculta al otro (ACPI.SYS) mostrando el de sistema de igual nombre, con lo que un escaneo lo ve todo normal, salvo que el ELISTARA encuentra un fichero con acceso denegado y pide constantemente reiniciar, lo cual nos sirve para ver que hay una anomalía y estudiarla para ver si es este caso.
Hemos prestado especial atención a este malware por ser, además de backdoor, rootkit, tandem que le hace especialmente peligroso y que conviene tenerlo muy en cuenta.
saludos
ms, 24-1-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.