SOLUCION FINAL AL FAKE AV SECURITY TOOL GENERADO POR EJECUCION DEL ANEXADO DE FALSO MAIL DE DHL

Publicado el 11 noviembre 2010 ¬ 14:32 pmh.mscComentarios desactivados en SOLUCION FINAL AL FAKE AV SECURITY TOOL GENERADO POR EJECUCION DEL ANEXADO DE FALSO MAIL DE DHL

Si bien los Fake Av son generalmente causados por navegación en webs infectadas o hackeadas, en esta ocasión ha sido por abrir y ejecutar un fichero anexado a un mail el que ha causado la infección indicada

El mail en cuestión aparenta ser de DHL, y ya informamos de él recientemente y lo pasamos a controlar como BREDAVI, que es un dropper cuya ejecución genera el Security Tool, que tanto nos ha incordiado estos últimos días

La cuestión es que se instala ejecutandose en un shell del EXPLORER, creando para ello un fichero de 4 letras con extensión atípica, ejecutado por un RUNDLL32.EXE y además en una clave RUNONCE en el que lanza un fichero numérico

Todo ello crea un conjunto difícil de controlar, y si bien inicialmente los tratabamos por separado, tras multitud de incidencias y de experiencias consecuenctes, se ha visto que todo es causado por lo mismo, y si bien hemos ido solucionando los problemas correspondientes con el ELISTARA + ELISHELL, a partir del ELISTARA 21.99 de hoy ya se restaurará el shell correcto, y se mueve el fichero numérico a C:\muestras si no se conoce, para que nos lo envien para analizar y controlar, o ya se elimina si resulta ser de los ya conocidos.

El control total de este malware ha costado lo suyo, debido a comportarse atipicamente respecto los otros FAKE AV, tanto en la manera de infectar, como en al de lanzarse desde dos puntos distintos, en el Shell del Explorer y en un RunOnce , con dos ficheros tambien distintos. Ambos los hemos ido controlando con mas conocimientos en cada nueva versión del ELISTARA, hasta la de hoy, que ya se pide muestra de todos los ficheros relacionados, si no se conocen, los aparca y restaura la clave para que no incordie a partir del siguiente reinicio.

Por todo ello, tanto si el problema les ha venido por ejecucion del mail anexado al falso mail de DHL, como si el problema lo han detectado a traves de la presentacion en pantalla del SECURITY ALERT, la solucion es ARRANCAR EN MODO SEGURO y ejecutar el ELISHELL >21.99 (o en modo seguro con funciones de red si quieren poder navegar para descargarlo) , y una vey se tiene dicho fichero en el ordenador, ejecutarlo (en cualquier forma de modo seguro) y, tras reiniciar normalmente, seguir las indicaciones de envio de muestras que diga el C:\infosat.txt, pero de momento ya se podrá trabajar sin el incordio del SECURITY TOOL

Esperamos que lo indicado les sea de utilidad

saludos

ms, 11-11-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies