UN ROOTKIT DIFICIL DE DETECTAR : ROOTKIT SHIOTOB tambien conocido como BEBLOH

Nos ha llegado muestra de una variante de la familia SHIOTOB, rootkit que una vez arrancado el ordenador y activado su funcionamiento, se oculta de mala manera, y solo arrancando en MODO SEGURO o lanzando el antivirus inmediatamente tras arrancar,(sirve el ELISTARA tambien) es visible.

total ofrece el siguiente informe:>

Llega en un ZIP anexado a un e-mail del siguiente tipo:

EJEMPLO DEL MAIL:

__________________

“adjuntamos relación de facturas y albaranes emitidos pendientes de pago hasta
la fecha indicada.

Si tuviera algún problema a la hora de imprimir el fichero pdf, emplee la
opción de imprimirlo como imagen.

Le informamos que cumpliendo con la normativa mercantil, tributaria y de
tratamiento electrónico de datos, han sido firmados electrónicamente con
nuestro Certificado Digital dádonle una garantía absoluta.

Atentamente,

Adjuntos:
“notizen nr._von 22_1.zip” -> “notizen nr._von 22_1.PDF.exe” —> fichero malicioso con Rootkit Shiotob

____________

Deja instalada una clave para recargarse al reiniciar:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“******”=”C:\Archivos de programa\Windows NT\******.lnk”

Contenido del lnk:

“%Archivos de Programa%\Windows NT\******.exe” -autorun

El nombre usado es uno del sistema de windows, como por ejemplo el EXPLORER.EXE, si bien en tal caso aparecen dos EXPLORER.EXE lo cual puede servir para sospechar de algo anormal …

Con conexión, se actualiza y/o puede descargar otros malwares, como el Kasidet, que en ocasiones tambien es “peludo” de eliminar.

Sus técnicas RootKit ocultan Proceso, Ficheros y Clave del Registro
Tras reiniciar, se autoborra y se instala (con otro nombre)

En cualquier caso vemos que utiliza anexados a mails no solicitados para llegar al usuario, por lo cual recordamos que:

COMO YA VAMOS INDICANDO REPETIDAMENTE, NO SE DEBEN EJECUTAR NI FICHEROS NI ENLACES NI IMAGENES, DE MAILS QUE NO SE HAYAN SOLICITADO, AUNQUE SE CONOZCA EL REMITENTE O VENGAN DE ALGUNA ENTIDAD CONOCIDA, Y MENOS ENVIAR DATOS QUE PUDIERAN SOLICITAR …

Y CUIDADO, QUE AHORA YA NOS LLEGAN CON TODO EL MAIL EN UNA IMAGEN QUE ES UN ENLACE A UNA URL ACORTADA MALICIOSA, ASI QUE DESDE AHORA, SEGUIR LO INDICADO ANTERIORMENTE, AÑADIENDO NO PULSAR EN NINGUNA PARTE DEL MAIL, POR SI ACASO FUERA TODO ÉL UNA IMAGEN CON ENLACE A URL MALICIOSA !!!

y en particular con los XLSX anexados a mails no solicitados, no abrirlos con el Microsoft Office, sino con el WordPad, dado que no son realmente ficheros de Excel sino simples RTF con exploit similar al CV-2012 o CV-2017, que con el WordPad no actúan. Y tener en cuenta que ahora también se estila anexar RTF con extensión DOC, proceder igual que con lo indicado anteriormente.

saludos

ms, 30-11-2018

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies