Regeneracion de SIREFEF tras ser eliminado

En algunas variantes del SIREFEF, este se regenera tras ser eliminado por el ELISIREF, y tras mucho pelear y con la excelente colaboracion del usuario afectado, si bien sabiamos que en alguna ocasion el dropper que regeneraba dicho SIREFEF se escondía en ficheros del antivirus, los cuales infectaba adecuadamente, dicha infeccion no era visible cuando estos se cargaban, aun en modo seguro, pues eran drivers que se cargaban siempre.

Pero colocando el disco infectado como esclavo, el mismo Virusscan ha detectado, eliminado y limpiado en su caso, dichos ficheros y tras ello el ELISIREF ya ha eliminado fichero y carpeta del SIREFEF, tras lo cual se acabó la historia, y además para siempre con este virus en este ordenador, ya que cuando se logra borrar dicha carpeta “junction” con el ELISIREF,  se vacuna el disco duro para que en dicho ordenador ya no pueda volver a infectarse con dicho virus.

Hemos creido que era importante comunicarlo para conocimiento de nuestros usuarios e interesados, ya que el SIREFEF es de armas tomar y muy en boga, por lo que este es un “pequeño paso contra los virus, pero un gran paso contra el SIREFEF”

El informe del VirusScan sobre el disco duro esclavo ha sido:

Amenazas detectadas
Ubicación
Tipo
Objeto
Amenaza
Estado

Archivo
Virus
G:\Archivos de programa\Archivos comunes\McAfee\SystemCore\mfeann.exe
W32/Katusha
Limpiado

Archivo
Virus
G:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
W32/Katusha
Limpiado

Archivo
Troyano
G:\Documents and Settings\SUPERVISOR\Datos de programa\Sun\Java\Deployment\cache\6.0\25\431e7a99-2d099a02
Artemis!558633568C69
Eliminado

Archivo
Troyano
G:\Documents and Settings\SUPERVISOR\Datos de programa\Sun\Java\Deployment\cache\6.0\29\5658339d-698993f6\Translate.class
Generic Exploit!1kx
Eliminado

Archivo
Troyano
G:\WINDOWS\assembly\GAC_MSIL\Desktop.ini
Generic BackDoor!dxf
Eliminado

Archivo
Troyano
G:\WINDOWS\system32\c_97075.nl_
W32/Sirefef.f
Eliminado

Archivo
Virus
G:\WINDOWS\system32\mfevtps.exe
W32/Katusha
Limpiado

Archivo
Virus
G:\WINDOWS\system32\mfevtps.vir

Hay que tener en cuenta que estos nombres pueden variar en cada ordenador, por ejemplo el \WINDOWS\system32\c_97075.nl_ en el ordenador de pruebas nos genera un C_69680.NL_, y ademas los drivers indicados cuando estan en memoria muestran los originales, ya que habiendo pedido al usuario el \WINDOWS\system32\mfevtps.exe que era uno de los que luego el VirusScan ha limpiado, cuando nos lo han enviado era el original del antivirus, debido a la tecnica de ocultamienmto empleada.

Un elemento duro de pelar, por lo que  conviene tener en cuenta lo indicado !

saludos

ms, 4-1-2012

NOTA:  En los casos que sea complicado colocar el disco duro como esclavo en otro ordenador, bien por no disponer de él, o porque se trata de un laptop u ordenador con dificil acceso a la extracción de dicho disco duro, se puede arrancar con el LIVE CD de Satinfo, que integra VirusScan para Linux con el que poder lanzar la exploración, tras haber arrancado con él, o bien arrancar con un CD tipo Bar PE o Pilitos, para disponer de windows sin virus, y así poder lanzar el antivirus sin el virus en memoria, con lo que poder detectar y eliminar la infección de dicho dropper. Luego reiniciar normalmente y eliminar el SIREFEF con el ELISIREF.  ms.