Nueva versión de SPROCES 4.6 que visualiza ficheros susceptibles de tener RootKit BUBNIX (***VER AL FINAL ANEXO VERSION 4.6 B ***)

Publicado el 13 mayo 2010 ¬ 16:58 pmh.mscComentarios desactivados en Nueva versión de SPROCES 4.6 que visualiza ficheros susceptibles de tener RootKit BUBNIX (***VER AL FINAL ANEXO VERSION 4.6 B ***)

 

Dada la detección en la mayoría de los ordenadores que han sido infectados por el Downloader Bredolab, de un RootKit BUBNIX, no detectado mientras está activo, (por ser ROotKit) según indicamos en https://blog.satinfo.es/?p=3965
hemos procedido a añadir, a las prestaciones del SPROCES.EXE, la visualización, en el informe que genera, c:\sproclog.txt, un listado de los ficheros susceptibles de contener dicho peligroso troyano, capaz de llevar a cabo intrusiones y ataques: captura de pantallas, recogida de datos personales, etc., de los cuales los que no conozcamos y veamos por sus atributos que pueden contener dicho ROOTKIT, pediremos muestra del fichero para analizar, lo cual, si es el malware, no podrá hacerse en modo normal, y necesitará arrancar el ordenador en Cónsola de recuperacion, con el CD de instalación o arrancando con un LIVECD (pilitos, LINUX, Bart PE, etc), o colocando el disco duro como esclavo en otro ordenador no infectado, de forma que arrancando con el HDD MASTER, se pueda acceder al disco duro esclavo sin que se haya lanzado dicho servicio del BUBNIX.  Conviene entonces añadir .VIR a la extensión de dicho fichero, que se resista a ser accedido normalmente, para que luego, arrancando en MODO NORMAL, pueda ser copiado y enviado para analizar.

Con la nueva versión de hoy del SPROCES 4.6 se obtendrá, aparte de lo acostumbrado, en el apartado de INFORMACION ADICIONAL, un listado de ficheros apropiados en …\drivers\ , con su extensión y atributos, de los cuales pediremos que se pruebe el acceso y renombre de los que veamos mas sospechosos, y el que se resista, proceder a lo arriba indicado y una vez nos sea enviado para analizar, implementaremos su control y restauración de claves, si procede, en la próxima versión del ELISTARA, que actualizamos a diario.

Un logro mas de nuestro servicio técnico, siempre buscando soluciones a los problemas que nos plantea el día a día, y con éste esperamos aprobar con nota una asignatura pendiente 🙂

Descargar la nueva versión 4.6 del SPROCES y utilizarla en lugar de la anterior versión, hasta nuevo aviso.

saludos

ms, 13-5-2010

          

Versión 4.6 B del SPROCES

Mejora de la versión 4.6 indicando fabricante de los ficheros que se indican en INFORMACION ADICIONAL   para poder discriminar con mas conocimiento de causa, los posiblemente malwares BUBNIX, aunque pueden tener falseados los datos, claro.

De momento las muestras recibidas de las variantes que ya conocemos, no indican fabricante, con lo que, si se ha tenido Bredolab, primero empezar por intentar renombrar los ficheros indicados en dicha lista con los que no aparezca fabricante, y con el primero que se resista, proceder a ello arrancando en consola de recuperación y, tras reiniciar normalmente, enviarnoslo para analizar.
.

saludos

ms, 14-5-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies