NUEVO ROOTKIT “DARK GALAXY” QUE AFECTA AL MBR CON TECNICAS STEALTH

Un nuevo virus que se instala en el sector del MBR (0,0,1 del disco duro) y que sigue en los sectores del 0,0,3 al 0,0,55, y posiblemente añadiendo algo mas en el landing zone, dejando el MBR original en el 0,0,2 , nos ha aparecido en las máquinas de análisis de muestras sospechosas, pasando a controlarlo con el mismo nombre que lo identifica Kaspersky, si se arranca “limpio”, Trojan.Boot.DarkGalaxy.a

El caso es que solo se ve dicha modificación si se arranca con un disco de arranque de Windows o un Pilitos, pero no si se arranca normalmente con el MBR infectado, propio de que está utilizando técnicas stealth, ya que mientras esta residente muestra el MBR anterior a la infección.

El preanalisis de virustotal sobre el MBR infectado, arrancando con disco de arranque de Windows o Pilitos (no con el MBR infectado) ofrece el siguiente informe>

Tambien el ELISTARA actual detecta dicho rootkit indicando que se ha detectado un malware con tecnicas stealth en el MBR y si se arranca “limpio” indicará que es el DARK GALAXY , en cuyo caso se deberá copiar el sector 0,0,2 sobre el sector 0,0,1 , con lo que se restaurará la normalidad.

Detrás de dicho arranque malicioso puede esperarse cualquier historia, asi que lo primero es quitarse se encima dicho MBR indeseable!

saludos

ms, 9-1-2019

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies