UN MALWARE YA CONOCIDO, EL ELENOOCKA, PERO PELUDO, QUE DEBE ELIMINARSE A MANO
Se trata del MALWARE ELENOOCKA, que tras ejecutarlo queda residente de forma que segun Microsoft es un Backdoor que Microsoft le llama actualmente Backdoor Win32/Tofsee.T
Instala un EXE que es una copia del ejecutado de 109 kB, añadiendole entre 10 y 15 Mbytes, posiblemente de paja aleatoria.
El residente que queda instalado lo hace bajo el nombre del SVCHOST.EXE Y LO MAS SIGNIFICATIVO ES QUE SE RECARGA INCLUSO ARRANCADO EN MODO SEGURO !!!
El nombre de la Carpeta, del Fichero y de la Clave de carga varian en cada instalación.
Mientras está activo, se tiene acceso denegado a la carpeta y a la Clave.
(con Propietario “SYSTEM” y permisos especiales).
Para Cambiar el Propietario de la Carpeta, darle permisos de control total
———————————————————————
Sobre la carpeta se quiere modificar (Boton Derecho -> Propiedades)
En la caja de dialogo que se abre (Pestaña “Seguridad” -> Boton “Opciones avazadas”)
Se abre otra caja de dialogo (en la Pestaña “Propietario” seleccionar
“Administradores”, Aceptar y otra vez Aceptar).
Otra vez sobre la carpeta se quiere modificar (Boton Derecho -> Propiedades)
En la caja de dialogo que se abre (Pestaña “Seguridad” -> seleccionar
“Administradores”, marcar “Control Total” y Aceptar).
Y ya se podrá eliminar…
Notas:
La Pestaña “Seguridad” por defecto no aparece.
para activarla:
En el Explorador de Windows, (“Herramientas” -> “Opciones de Carpeta”
-> Pestaña “Ver” -> desmarcar la última opción
“Utilizar uso compartido simple de archivos” y Aceptar).
TOTAL, UN BICHO DE CUIDADO ! que puede estar residente y el usuario no enterarse de ello …
Si el usuario ve una Carpeta a la que no se puede entrar y un Servicio con su mismo nombre, puede tener dicho Backdoor …
Mucho cuidado con este malbicho, que es de pronostico reservado !
Esperando que lo indicado les sea de utilidad,. reciban saludos
ms, 5-6-2019
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.