Posted in 8 noviembre 2011 ¬ 13:15 pmh.mscComentarios desactivados en Mas RootKit SIREFEF (ZERO ACCESS) cazado por la heuristica del ELISIREF
El Sirefef se está convirtiendo en el RootKit de moda, como lo ha sido (y aun persiste) el DORKBOT y antes el Conficker… Este RootKit se esconde de mala manera cuando está en memoria, mostrando en su lugar el fichero del que coge el nombre, que acostumbra a ser un driver del sistema operativo, aunque […]
Read the rest of this entry »
Posted in 8 noviembre 2011 ¬ 12:40 pmh.mscComentarios desactivados en Mas muestras del ROOTKIT SIREFEF (ZEROACCESS)
Parece que la heuristica de nuestro ELISIREF está dando resultados ! Otra muestra pedida por dicha utilidad ha sido identificada como malware, y pasada a controlar especificamente a partir del ELISIREF 1.6 de hoy El preanalisis del fichero en cuestion (sin el virus en memoria) ofrece el siguiente informe: File name: smb.sys_CLN.Muestra EliSirefef v1.4 […]
Read the rest of this entry »
Posted in 8 noviembre 2011 ¬ 8:57 amh.mscComentarios desactivados en Mas muestras del SIREFEF aportadas por el ELISIREF, que pasamos a controlar
Están llegando mas muestras del terrible ZONEACCESS-SIREFEF, gracias a la deteccion heuristica del mismo con el ELISIREF, con las que vamos implementando el control específico de las nuevas variantes del mismo, y asi podemos librarnos de él. En este caso pasamos a controlarlo a partir del ELISIREF 1.6 de hoy En este caso ha […]
Read the rest of this entry »
Posted in 7 noviembre 2011 ¬ 17:07 pmh.mscComentarios desactivados en Las primeras detecciones heuristicas del SIREFEF con el ELISIREF.EXE
A pesar que algun que otro fichero sospechoso recibido al respecto ha resultado ser falso positivo, este es sin duda muestra del ZERO ACCESS – SIREFEF, que pasamos a controlar a partir del ELISIREF 1.5 de hoy El preanalisis del virustotal ofrece el siguiente informe: File name: netbt.sys.Muestra EliSirefef v1.4 Submission date: 2011-11-07 15:46:53 (UTC) […]
Read the rest of this entry »
Posted in 4 noviembre 2011 ¬ 15:38 pmh.mscComentarios desactivados en Sobre las ultimas novedades del SIREFEF y su deteccion y control con las nuevas versiones de SPROCES / ELISTARA / ELISIREF
Llegandonos cada día nuevas variantes del SIREFEF (ZERO ACCESS) , A CUAL PEOR, si bien hasta ahora lo identificabamos con el proceso del junction sobre fichero de cero bytes en C:\windows, con otro en carpeta inaccesible simulando la de una desinstalacion de parches de Microsoft, que con el SPROCES veiamos algo similar a Proceso extraño […]
Read the rest of this entry »
Posted in 27 octubre 2011 ¬ 15:01 pmh.mscComentarios desactivados en NUEVA UTILIDAD AUTOMATICA ELISIREF.EXE PARA LA ELIMINACION DEL SIREFEF (ZEROACCESS)
Conforme habíamos indicado, hemos terminado hoy en SATINFO, la primera versión automatizada del ELISIREF.EXE, para eliminar las variantes conocidas del SIREFEF (ZERO ACCESS) Como sea que son varias las barreras a eliminar, procedemos primero a detectar y eliminar la «carpeta» con caracteristicas «Function», tras lo cual se pide reiniciar. Una vez reiniciado el ordenador sin […]
Read the rest of this entry »