NUEVA VARIANTE DE ROOTKIT INFECTOR DE FICHEROS SWISYN AH , AUN POCO CONTROLADO POR LOS ACTUALES AV (solo 9 de 48)

Otra variante de este rootkit de compleja eliminación, pasa a ser controlada a partir del ELISTARA 29.38 de hoy

Es necesario arrancar en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA para poder eliminar los tres procesos que estarían activos de otra forma, pues uno de ellos utiliza un Shell del Explorer.

– Queda residente (3 procesos activos)
– Oculta ficheros del sistema.
– Desactiva el Servicio “Programador de tareas”.
– Infecta EXEs de las Unidades de PenDrive y de Disquette.

Tras eliminar dichos tres ficheros de sistema activos, se requiere lanzar un antivirus (De los 9 que lo controlan) que desinfecte los ficheros infectados del ordenador

El preanalisis de virustotal ofrece este informe:

MD5 ad7fcfe67f4f628e0f052cbe0b081b73
Tamaño del fichero 1.7 MB ( 1809408 bytes )
SHA256: 05f69bb5480119649685756517daae1507a1aa8a444ca4a9c9b8b840c5254cc1
Nombre: SPOOLSV.EXE.Muestra EliStartPage v29.35
Detecciones: 9 / 48
Fecha de análisis: 2014-02-17 10:14:32 UTC ( hace 54 minutos )

0 1
Antivirus  Resultado  Actualización
AVG  Generic35.BTXX  20140217
AntiVir  TR/Injector.1809408.36  20140217
Antiy-AVL  Trojan/Win32.Fsysna  20140217
Avast  Win32:Rootkit-gen [Rtk]  20140217
DrWeb  Trojan.Siggen6.7715  20140217
Kaspersky  Trojan.Win32.Fsysna.npj  20140217
Kingsoft  Win32.Troj.Fsysna.n.(kcloud)  20140217
VBA32  Trojan.Fsysna  20140217
VIPRE  Trojan.Win32.Generic!BT  20140217
Dicha version del ELISTARA 29.38 que lo detecta y elimina, estará disponible en nuestra weB a partir de las 19 h CEST de hoy

saludos

ms, 17-2-2014