Solucion al malware WORM VBNA genérico, de difícil detección …
Como continuación de lo indicado en https://blog.satinfo.es/?p=2198 en el que ya decíamos que cuando el WORM VBNA estaba en memoria, no lo detectaría el ELISTARA, hemos implementado un nuevo método en el ELIPALEVO con el que conseguimos controlarlo incluso cuando está en memoria.
A partir de la version 1.37 de hoy del ELIPALEVO, hemos implementado un nuevo método que, sin tener nada que ver con los demas Palevo que controla dicha utilidad, por ser “cazados” tambien estos de forma atípica, se ha aprovechado la misma utilidad para control y eliminación de estos otros WORM VBNA , para que no sea tan dificil su detección, y se recomienda además que, una vez detectado y eliminado con dicha utilidad, se pase tambien el ELISTARA para restaurar otros restos de claves y el ELIPEN, sobre todo a los pendrives, para evitar la propagación de dicho virus por tal medio, ya que es una de los sistemas que tiene de propagación.
Se recuerda que este malware modifica el registro para que sea lanzado en cada reinicio desde una clave de nombre aleatorio lanzando un fichero, tambien de nombre aleatorio, y con 8 bytes variables, ocultado con atributo SuperHidden:
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Valor: [ALEATORIO]= %UserProfile% \[ALEATORIO].exe”
Con ello esperamos poder contener esta nueva familia que nos está llegando de paises de habla hispana como México, de donde tambien recibimos a diario nuevas variantes de ONLINE GAMES, que vamos controlando.
Por ello resaltamos que cuando con el antivirus no se detecta virus, pero los sintomas son de algun intruso residente en el ordenador (por ralentización, anomalias atípicas, etc) conviene complementar el antivirus instalado con nuestras utilidades, resaltando cinco o seis entre las mas necesarias usualmente:
ELIPALEVO —> Que indicamos en esta Noticia
ELISTARA —> Para troyanos en general.
ELITRIIP —> Para gusanos, intrusos de RPCDCOM y LSASS e IRCBOT.
ELIBAGLA —> Para rootkits de la familia Bagle
ELIPEN —> Para evitar la propagacion de virus por pendrive
y si aun con todo ello no se detecta nada ni se pide el envio de muestras para analizar, cabe lanzar el SPROCES para obtener el fichero resultante, de cuyo análisis pediremos las muestras que veamos sospechosas.
SPROCES —> Herramienta de investigación.
Estas utilidades pueden ejecutarse normalmente, si bien en sistemas protegidos debe pulsarse botón derecho sobre su icono y escoger EJECUTAR COMO ADMINISTRADOR, y si se puede, arrancando en MODO SEGURO CON FUNCIONES DE RED, para evitar colisiones con el antivirus residente o con los mismos malwares.
Las nuevas utilidades indicadas estarán disponibles a partir de las 19 h G.M.T.
saludos
ms, 1-2-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.