NUEVA VARIANTE DE BACKDOOR SIMDA QUE REQUIERE INICIAR MANUALMENTE PARA PODER ELIMINARLO (ROOTKIT)

Publicado el 16 enero 2014 ¬ 11:51 amh.mscComentarios desactivados en NUEVA VARIANTE DE BACKDOOR SIMDA QUE REQUIERE INICIAR MANUALMENTE PARA PODER ELIMINARLO (ROOTKIT)

Una nueva variante de esta familia, pasa a ser controlada a partir del ELISTARA 29.16 de hoy, si bien al cargarse incluso arrancando en MODO SEGURO, si se detecta activo en memoria, debe arrancarse con el CD de instalacion, acceder a la Consola de Recuperacion y acceder en dicho modo a la carpeta de sistema (c:\windows\system32\) y añadir .VIR a la extension de dicho fichero.  Tambien puede hacerse arancando con un LIVE CD de Pilitos o BartPE y acceder a dicho fiochero y proceder segun lo indicado. Una vez hecho, reiniciando el ordenador ya se verá el fichero real, y lo controlará el ELISTARA
El preanalisis de viristotal ofrece este informe:
MD5 bb7228fe2d4f590116f1d976a2358cf7
SHA1 85a12e25f44c1e807e04b50dad79db473788da03
File size 181.5 KB ( 185860 bytes )
SHA256: 2e1094d9f62ee12c2877bed75d8c3eb83353222b6830d57177a44e21740c2428
Nombre: c_7265154.nls
Detecciones: 5 / 48
Fecha de análisis: 2014-01-16 10:23:46 UTC ( hace 0 minutos )

0 1

Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Kazy.132627  20140116
Avast  Win32:RLoader-B  20140116
F-Secure  Gen:Variant.Kazy.132627  20140116
MicroWorld-eScan  Gen:Variant.Kazy.132627  20140116
TrendMicro-HouseCall  TROJ_GEN.F47V0115  20140116

 

__________

y su complementario, que si está residente el .NLS anterior, aparenta ser el ACPI.SYS del sistema, realmente ofrece este informe
MD5 66ddbd140a63fdb177da0cb2ad3fa530
SHA1 050884ca4e225f5aea2986ae3223852f97560618
File size 184.6 KB ( 189056 bytes )
SHA256: f0df9cd953ab3e03f127d811f28b0bd5a55edc19c4cf34b6baf202b2b2977734
Nombre: acpi.sys
Detecciones: 16 / 48
Fecha de análisis: 2014-01-16 10:37:05 UTC ( hace 0 minutos )

0 1
Antivirus  Resultado  Actualización
Ad-Aware  Gen:Variant.Buzy.3764  20140116
AntiVir  TR/Rootkit.Gen2  20140116
BitDefender  Gen:Variant.Buzy.3764  20140116
Bkav  HW32.CDB.Fe5a  20140116
Commtouch  W32/Simda.A.gen!Eldorado  20140116
ESET-NOD32  Win32/Simda.AF  20140116
Emsisoft  Gen:Variant.Buzy.3764 (B)  20140116
F-Prot  W32/Simda.A.gen!Eldorado  20140116
F-Secure  Gen:Variant.Buzy.3764  20140116
GData  Gen:Variant.Buzy.3764  20140116
Ikarus  Trojan.Win32.DNSChanger  20140116
K7AntiVirus  Riskware ( a362a6c30 )  20140115
Kingsoft  Win32.Troj.Generic.a.(kcloud)  20130829
McAfee-GW-Edition  Heuristic.LooksLike.Win32.SuspiciousPE.J  20140116
MicroWorld-eScan  Gen:Variant.Buzy.3764  20140116
NANO-Antivirus  Trojan.Win32.Simda.cqznut  20140116
__________

 

Dicha version del ELISTARA 29.16 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos

ms, 16-1-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies