NUEVA VARIANTE DE BACKDOOR SIMDA (ROOTKIT), aun poco detectado por los actuales AV (solo 7 de 48)

Otra variante de este fastidioso backdoor, que requiere arrancar con CD de recuperación para poder renombrar a uno de sus componentes (el *.nls que aparece en el infosat como “acceso denegado” a *.nls.vir), y asi, tras reiniciar, poder acceder al componente real del ACPI.SYS, que si está el *.nls activo nos mostraría el ACPI.SYS original de windows, no el real infectado con dicho backdoor, todo lo cual lo pasaremos a controlar a partir del ELISTARA 29.21 de hoy.

Normalmente(*)  al eliminar el  ACPI.SYS  malware, Windows restaurará una copia del original, pero si por alguna causa no fuera así, el equipo no arrancaría tras dicha eliminación, y se habría de arrancar de nuevo con  el CD de Recuperacion (u otro LIVE CD) y copiar de otra máquina con igual sistema operativo, el fichero de sistema ACPI.SYS (de la carpeta DRIVERS dentro de la de sistema), a la misma carpeta (C:\windows\system32\drivers\) del disco afectado.

El preanalisis de virustotal ofrece este informe:

MD5 e24fa86e3486dcbfc67065466ad32757
SHA1 70b3a653d8c800c2ee7d8476a71cdec85e9db215
File size 178.0 KB ( 182276 bytes )
SHA256: 79f13cfc36bdcd40f2cc777b52947749f53f4ea5b5d6ea0a3e792899304327c9
Nombre: c_7265170.nls.vir
Detecciones: 7 / 48
Fecha de análisis: 2014-01-23 16:00:03 UTC ( hace 0 minutos )

0 1

Antivirus  Resultado  Actualización
Ad-Aware  Trojan.Simda.B  20140123
Avast  Win32:RLoader-B  20140123
BitDefender  Trojan.Simda.B  20140123
Emsisoft  Trojan.Simda.B (B)  20140123
GData  Trojan.Simda.B  20140123
MicroWorld-eScan  Trojan.Simda.B  20140123
nProtect  Trojan.Simda.B  20140123

Dicha version del ELISTARA 29.21 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 23-1-2014

 

(*) NOTA IMPORTANTE :

Tras renombrar  el fichero *.nls indicado en el infosat como ACCESO DENEGADO, y que provoca que cada vez que se pasa el ELISTARA diga REINICIAR PARA COMPLETAR LA ELIMINACION, al arrancar de nuevo el ELISTARA ya podrá ver si existe el ACPI.SYS infectado con el SIMDA, y en tal caso lo eliminará, pero MUY IMPORTANTE, dicha ejecucion del ELISTARA debe ejecutarse arrancando en MODO NORMAL, pues si se hiciera arrancando en MODO SEGURO,  WIndows no restauraría el ACPI.SYS del sistema, con lo que el equipo no arrancaría hasta que se restaurase manualmente, arrancando con LIVE CD y copiando el de otro equipo con igual sistema.

ms.

 

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies