NUEVO ROOTKIT “DARK GALAXY” QUE AFECTA AL MBR CON TECNICAS STEALTH
Un nuevo virus que se instala en el sector del MBR (0,0,1 del disco duro) y que sigue en los sectores del 0,0,3 al 0,0,55, y posiblemente añadiendo algo mas en el landing zone, dejando el MBR original en el 0,0,2 , nos ha aparecido en las máquinas de análisis de muestras sospechosas, pasando a controlarlo con el mismo nombre que lo identifica Kaspersky, si se arranca “limpio”, Trojan.Boot.DarkGalaxy.a
El caso es que solo se ve dicha modificación si se arranca con un disco de arranque de Windows o un Pilitos, pero no si se arranca normalmente con el MBR infectado, propio de que está utilizando técnicas stealth, ya que mientras esta residente muestra el MBR anterior a la infección.
El preanalisis de virustotal sobre el MBR infectado, arrancando con disco de arranque de Windows o Pilitos (no con el MBR infectado) tor 0,0,2 sobre el sector 0,0,1 , con lo que se restaurará la normalidad.
Detrás de dicho arranque malicioso puede esperarse cualquier historia, asi que lo primero es quitarse se encima dicho MBR indeseable!
saludos
ms, 9-1-2019
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.