MAS SOBRE EL CCLEANER HACKEADO CON TROJAN FLOXIF
Qué es CCleaner Trojan.Floxif Malware y cómo eliminarla
Como sea que hay muchos usuarios afectados por el infector TROJAN FLOXIF que se propaga a través del CCleaner 5.33.6162 hackeado recientemente, si bien acabamos de publicar método para detección/eliminación de dicho mlware en Windows 10, hemos creido oportuno informar mas a fondo sobre las caracteristicas del troyano que instalaba dicha versión hackeada de CCleaner antes indicada.
Este artículo trata de explicar cuál es el infector Trojan.Floxif que se propaga a través CCleaner y cómo quitar dicho malware Floxif de tu ordenador, que puede instalar keylogger, adware e incluso ransomware…
Una infección escandalosa ha sido detectada por los investigadores de malware, que infecta los ordenadores directamente a través del CCleaner 5.33.6162. Los piratas informáticos lograron introducir el Trojan.Floxif en dicha versión de la popular utilidad, el cual instala un archivo en el ordenador y comienza a realizar una variedad de actividades maliciosas que son la última cosa que se quiere en un equipo.
Además de ser un Keylogger, el troyano también puede robar sus datos de acceso, información financiera e incluso descargar e instalar otros programas maliciosos, como ransomware, por ejemplo, que bloquea sus documentos y las mantiene como rehenes de un pago de rescate.
Si el equipo tiene CCleaner hackeado instalado, es aconsejable eliminarlo de inmediato y leer la siguiente información para aprender a detectar y eliminar el Trojan.Floxif en él instalado.:
Nombre : CCleaner Trojan.Floxif
Descripción breve : Se puede detectar a través de la existencia de la sub-clave “Agomo” con el Editor de Registro de Windows.
Método de distribución A través de los correos electrónicos de spam, Archivos adjuntos de correo electrónico, Archivos ejecutables, o a través de instalar la versión hackeada del CCleaner, objeto de este artículo.
CCleaner Trojan.Floxif – ¿Cómo infecta?
La mala noticia es que si se ha descargado las versiones afectadas de cualquiera de los CCleaner (5.33.6162) Nube o CCleaner (1.07.3191) ya ha sido infectado por el malware.
La infección se lleva a cabo a través del infector Trojan.Floxif que ha sido introducido por los hackers en dichas versiones.
Según los investigadores el indicador más fuerte de tener este malware en el ordenador es que tras la infección se crea un sub-clave de registro con el nombre de “Agomo”. Se encuentra en la siguiente sub-clave del registro:
→ HKEY_LOCAL_MACHINE SOFTWARE piriforme Gomo
Si usted tiene esta clave de registro existente en un ordenador, se debe asumir que su ordenador ha sido comprometido por la infección Trojan.Floxif.
→ Relacionado:Puerta trasera en CCleaner afecta a millones de usuarios, La razón está detrás de Hack desconocido: https://sensorstechforum.com/es/backdoor-ccleaner-reason-hack-unknown/
Trojan.Floxif – Análisis de la actividad
El troyano Floxif es un malware que tiene varias versiones diferentes. La actividad de esas versiones, sin embargo, es bastante similar. Cuando se ha iniciado el troyano Floxif, se ejecuta inmediatamente un enlace que instala un archivo .dll, llamado symsrv.dll.
El archivo tiene un tamaño de de unos 67 Kb y se instala en la siguiente ubicación:
→ C:\Archivos de programa Archivos comunes System symsrv.dll
Con el fin de ejecutar el archivo malicioso cuando Windows arranca, el virus puede añadir la siguiente entrada de registro en la sub-clave “Windows”, situado en HKEY_LOCAL_MACHINE’ SOFTWARE Microsoft Windows NT CurrentVersion :
→ “AppInit_DLLs” = “C:\Archivos de programa Archivos comunes System symsrv.dll”“LoadAppInit_DLLs” = 1
Además de esto, el troyano Floxif también puede configurar las entradas del registro de modo que permanece oculto en su ordenador. Para hacer esto, instala las siguientes sub-claves del Registro:
→ HKEY_CURRENT_USER ¬Software ¬Microsoft ¬Windows ¬CurrentVersion Explorer ¬AdvancedHKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies ExplorerHKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced Folder SuperHiddenHKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon
En esas llaves, las entradas se crean con los siguientes valores en ellas:
→ “ShowSuperHidden” = 0“NoDriveTypeAutoRun” = 145“Escribe” = “radio”“SFCDisable” = 4294967197
Otra actividad que se realiza por este virus es que se conecta con las siguientes interfaces de programación de aplicaciones de Windows (API):
→ CredReadW (advapi32.dll)CreateServiceA (advapi32.dll)CreateServiceW (advapi32.dll)OpenServiceA (advapi32.dll)OpenServiceW (advapi32.dll)WinVerifyTrust (wintrust.dll)CreateFileW (kernel32.dll)ExitProcess (kernel32.dll)RegOpenKeyExA (kernel32.dll)RegOpenKeyExW (kernel32.dll)CreateProcessInternalW (kernel32.dll)MessageBoxTimeoutW (user32.dll)KiUserExceptionDispatcher (ntdll.dll)WahReferenceContextByHandle (ws2help.dll)
Pero esto no es donde termina el proceso de infección, el malware Trojan.Floxif también intenta eliminar archivos del sistema desde el propio Windows:
→ %Archivos de programa% Archivos comunes System symsrv.dll.dat%Usuarios% Administrador Local Temp …\*.tmp
El objetivo final de los programas maliciosos Floxif es robar información de su ordenador o instalar otros programas maliciosos en él. Además de la recogida de las listas con los programas instalados en su PC, la información de red de la misma y los identificadores únicos, El virus también puede conectarse a un host remoto y descargar otros malware. Para almacenar la información robada, la Trojan.Floxif puede crear los siguientes archivos:
→ %Drive System% pagefile.pif%Drive System% autorun.inf%Temp% update.exe
De esos archivos, se ejecuta automáticamente el archivo update.exe.
Cómo detectar y eliminar Trojan.Floxif
Con el fin de eliminar el malware Trojan.Floxif de tu ordenador, se recomienda seguir los pasos de extracción manual o automático a continuación. Están diseñados específicamente para ayudar a aislar y eliminar este virus.
Tener en cuenta que, dado que la amenaza Trojan.Floxif crea múltiples objetos en su equipo y asume el control parcial de la misma, es la razón por la que puede ser difícil de eliminar manualmente.
Los expertos no aconsejan la detección y eliminación de forma automática mediante la instalación y el escaneo de su ordenador con un software anti-malware avanzado. Esto también se asegurará de que la amenaza se ha ido permanentemente y su sistema está protegido contra cualquier infección futura al respecto, al igual que el malware CCleaner Floxif.
Por todo lo indicado parece que pueden ser millones los usuarios afectados, por lo que sugerimos lean con atención lo indicado al respecto y actuen correctivamente antes de que puedan verse afectados por sus efectos !!!
saludos
ms, 26-9-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.