Primera experiencia que tenemos de infeccion con MABEZAT.A

Publicado el 6 mayo 2011 ¬ 12:53 pmh.mscComentarios desactivados en Primera experiencia que tenemos de infeccion con MABEZAT.A

A traves de un cliente tenemos noticia de que el VirusScan le ha detectado tener codificados los ficheros de Word (.DOC) , de Excel  (.XLS) y tener ejecutables con el MABEZAT.A

Buscando informacion al respecto, vemos que McAfee indica que se trata de un gusano que se ejecuta a traves del autorun.inf de los pendrives (en ordenadores que no estan protegidos por el ELIPEN)

AUTORUN.INF con el que se propaga el MABEZAT.A  :

En los pendrive infectados crea estos dos ficheros:
•[UNIDAD]:\zPharaoh.exe
•[UNIDAD]:\autorun.inf

y se copia ademas a sí mismo en redes con recursos compartidos  protegidas por contraseñas débiles con los siguientes nombres de usuario:
•anonymous
•administrator

En tal caso de copia con estos nombres en las carpetas compartidas:
•My documents .exe
•Readme.doc .exe

A continuación, el gusano busca archivos .exe en el equipo comprometido y los infecta al realizar las acciones siguientes:

•Codifica el contenido de los archivos originales
•Actualiza los archivos nuevos del recurso, por lo que  muestra el icono del archivo original
.El gusano, a continuación, busca los archivos de datos en el sistema infectado y les codifica

•.hlp
•.pdf
•.html
•.txt
•.aspx
•.psd
•.rtf
•.htm
•.ppt
•.php
•.asp
•.cpp
•.xls
•.doc
•.pdf
•.mdb
Evidentemente se debe desinfectar el ordenador a base de arrancar en MODO SEGURO y, con  el VirusScan, eliminar los ficheros gusano y decodificar los ficheros codificados por el malware.

Y NO CONECTAR ORDENADORES LIMPIOS CON LOS INFECTADOS, hasta que estén todos limpios, pues de lo contrario se volverían a infectar.
Como colofón decir que la infeccion inicial entra en una Red a través de un pendrive infectado, o a través de un portátil infectado que se conecte a dicha Red, y que luego se propaga a toda la red propagando el virus y codificando todos los ficheros de datos de todos los ordenadores!
Como sea que hay poca conocimiento de este virus, y considerando oportuno informar al respecto, hemos editado esta Noticia para quien pudiera interesar.

saludos

ms, 6-5-2011

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies