Resto de infección de Sirefef, que persiste a la eliminación del ZEROACCESS/sirefef

Si bien parece que ya no se regenera el SIREFEF tras ser eliminado por el ELISIREF (que además, si ha encontrado y eliminado la dichosa carpeta de simulacion de una pseudo carpeta de  desinstalacion de un parche de microsoft, el ordenador queda protegido contra la posterior infección con dicho virus), pero visto que queda un fichero X sin extension en Datos de programa de Configuración Local del usuario, que lanza un Shell del Current User que llama a dicho fichero, sin llamar al EXPLORER.EXE, y que predomina sobre el del Local Machines, por lo que si queda dicha clave y se elimina dicho fichero X, se perdería el acceso al modo gráfico de windows, ya que dicha clave predonima sobre la de CURRENT USER que lanza normalmente el EXPLORER de windows.

Por ello el ELISTARA controla y elimina dicho fichero, y además elimina dicha clave, por si con el VirusScan o con solo el ELISIREF se hubiera eliminado este sin eliminar dicha clave.

El preanalisis ONLINE sobre dicho fichero ofrece este informe:

Nombre Archivo :   X
Tamaño Archivo :   59904 byte
Tipo Archivo :   PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :   01717b52f7fdb84646a75ef28fb6a81b
SHA1 :   c2ab6244d55826cc60a7c162d129cbea20bb488d

Resultados :   6% Escaner (2/36) encontró infección
Tiempo :   2011/12/14 16:10:09 (CET)
Escaner Versión Motor Versión Firma Fecha Firma Resultados Tiempo
a-squared 5.1.0.4 20111213110519 2011-12-13 – 0.319
AhnLab V3 2011.12.13.00 2011.12.13 2011-12-13 – 2.867
AntiVir 8.2.8.2 7.11.19.103 2011-12-14 – 2.030
Antiy 2.0.18 20111214.14878423 2011-12-14 – 0.027
Arcavir 2011 201112140249 2011-12-14 – 3.268
Authentium 5.1.1 201112132335 2011-12-13 – 1.582
AVAST! 4.7.4 111214-0 2011-12-14 – 0.010
AVG 10.0.1405 2090/4079 2011-12-13 – 0.093
BitDefender 7.90123.7845599 7.40154 2011-12-14 Gen:Variant.Kazy.48454 4.617
ClamAV 0.97.1 14121 2011-12-13 – 0.018
Comodo 5.1 10935 2011-12-13 – 2.074
CP Secure 1.3.0.5 2011.12.14 2011-12-14 – 0.070
Dr.Web 5.0.2.3300 2011.12.14 2011-12-14 – 17.713
F-Prot 4.6.2.117 20111213 2011-12-13 – 0.965
F-Secure 7.02.73807 2011.12.14.04 2011-12-14 – 0.272
Fortinet 4.2.257 14.967 2011-12-12 – 0.257
GData 22.3056 20111213 2011-12-13 – 5.395
Ikarus T3.1.32.20.0 2011.12.14.80017 2011-12-14 – 6.945
JiangMin 13.0.900 2011.11.26 2011-11-26 – 2.078
Kaspersky 5.5.10 2011.12.14 2011-12-14 – 0.134
KingSoft 2009.2.5.15 2011.12.14.18 2011-12-14 – 0.925
McAfee 5400.1158 6559 2011-12-13 – 13.670
Microsoft 1.7903 2011.12.13 2011-12-13 – 5.382
NOD32 3.0.21 6705 2011-12-12 Win32/Sirefef.DD trojan 0.006
nProtect 20111212.01 11843604 2011-12-12 – 1.606
Panda 9.05.01 2011.12.13 2011-12-13 – 1.321
Quick Heal 11.00 2011.12.12 2011-12-12 – 1.216
Rising 20.0 23.88.00.02 2011-12-12 – 0.475
Sophos 3.25.1 4.72 2011-12-14 – 4.618
Sunbelt 3.9.2520.2 11245 2011-12-12 – 0.950
Symantec 1.3.0.24 20111213.002 2011-12-13 – 0.252
The Hacker 6.7.0.1 v00356 2011-12-11 – 0.864
Trend Micro 9.500-1005 8.644.03 2011-12-14 – 0.046
VBA32 3.12.16.4 20111213.1240 2011-12-13 – 5.352
ViRobot 20111214 2011.12.14 2011-12-14 – 0.384
VirusBuster 5.4.0.10 14.1.114.0/7036485 2011-12-13 – 0.043
Aunque actualmente con el ELISTARA ya se detecta y elimina dicha clave y fichero, se informa de ello por si sucediera que tras eliminar el SIREFEF con cualquier medio, sin haber pasado el ELISTARA pasara lo indicado, lo cual se solucionaría sin problemas lanzando en cualquier momento el ELISTARA que lo corrige.

Como se ve, hay muy pocos AV que lo detectan, por lo que informa del particular por si fuera el caso.

saludos

ms, 14/12/2011