Publicado el 13 enero 2012 ¬ 9:55 amh.mscComentarios desactivados en Nueva variante NLS del SIMDA de los que ocultan el contenido real del ACPI.SYS con BACKDOOR SIMDA
Ya son mas de 20 las variantes de este malware NLS que conocemos, y si bien las primeras eran relativas al SIREFEF, las mas recientes afectan al BACKDOOR SIMDA, haciendo ver el ACPI.SYS original aun cuando se esté utilizando el del BACKDOOR SIMDA. Estamos viendo que en varios casos que hemos tenido de PROXY EXI, […]
Leer el resto de esta entrada »
Publicado el 11 enero 2012 ¬ 18:30 pmh.mscComentarios desactivados en Nueva variante del NLS del SIMDA, que esconde el peligroso Backdoor SIMDA (muestra el ACPI.SYS original de microsoft al mirar dicho fichero) – solo detectado actualmente por 3 de 39 AV
Otra variante del NLS que esconde al backdoor propiamente dicho, mostrando el fichero de Microsoft del mismo nombre (ACPI.SYS) en lugar del que está activo. El preanalisis de virustotal muestra este informe: File name: c_726519.nls Submission date: 2012-01-11 17:12:18 (UTC) Result: 3/ 39 (7.7%) VT Community malware Safety score: 0.0% Compact Print results Antivirus Version […]
Leer el resto de esta entrada »
Publicado el 10 enero 2012 ¬ 17:24 pmh.mscComentarios desactivados en Informacion sobre un dropper del SIMDA
Crea ficheros NLS que, mientras estén en uso, esconden el ACPI.SYS infectado (que es el backdoor SIMDA propiamente dicho) y muestran el del sistema. La instalacion del mismo crea un programa servidor que está a la espera de las órdenes remotas >(del hacker) propias de un backdoor, por ello se le denomina BACKDOOR SIMDA El […]
Leer el resto de esta entrada »
Virus045baaf5a0bd09f8e1868854c0e30948c2450d5e, 1.exe, 344b19659c005618b33c0ca83efcc71d, 435e17c7c9a11779e1b7a3b7124cdf2d, 5728(1).sys, 8b2405c0542f2c47a45b221a030ff0ef, 96b94b459973c63bf46c5d5f91ec6dd84472fd45, acpi.sys, Artemis!344B19659C00, b8a4864b380709a5f160cfb8c88e156dcd8d5cb0, Backdoor/Win32.Rootkit, c_726519(1).nls, c6811f0f6a149516ba6fb048566bfc91, ce55c4cb733f088958ce74d23ea8b671f7a99389, elistara, Heuristic.BehavesLike.Exploit.CodeExec.FFCN, Virus.Win32.RLoader.a, Win32/Agent.SUC.Gen, WinNT/Simda.gen!A
Publicado el 5 enero 2012 ¬ 14:59 pmh.mscComentarios desactivados en Nueva variante de malware NLS o RLoader tambien con muy pocas detecciones (solo 3 de 43)
Pasamos a controlar otra muestra del malware NLS, tambien llamado RLoader, a partir del ELISTARA 24.60 de hoy El preanalisis de virustotal ofrece el siguiente informe: File name: c_726519(2).nls Submission date: 2012-01-05 13:44:38 (UTC) Result: 3/ 43 (7.0%) VT Community malware Safety score: 0.0% Compact Print results Antivirus Version Last Update Result AhnLab-V3 2012.01.04.00 2012.01.04 […]
Leer el resto de esta entrada »
Publicado el 2 enero 2012 ¬ 17:13 pmh.mscComentarios desactivados en Nueva información relacionada con los servidores de descargas del SIREFEF Y PROXY-EXI (malware NLS, RootKit ReLoader, Downloader SIMDA -mal llamado backdoor-)
Ya la semana pasada vimos nuevos especimenes entre las descargas del SIREFEF y PROXY EXI, y visto que persisten y que además organizan una “fiesta privada”, quedando protegidos mientras un C_726519.NLS esté residente, empezamos a entender la función de dicho NLS que protege el driver ACPI.SYS modificado, que es un backdoor SIMDA que solo […]
Leer el resto de esta entrada »
Virus2176493736a4203175bab8ed5d8abb221f494046, 80d08aaee7f0f0964e44d638448c4da29599bc28, acpi.sys, Artemis!BF28E3590704, bf28e3590704a4c729de300e23add03f, c_726519(01) nls, c6811f0f6a149516ba6fb048566bfc91, ce55c4cb733f088958ce74d23ea8b671f7a99389, Dldr (01).exe, e1e9c8e19af36186fcd08cf14951c7da, elistara, Heuristic.BehavesLike.Exploit.CodeExec.FFCN, Trojan.Win32.Delf.cfoi, Virus.Win32.RLoader.a, Win32/Agent.STT, Win32/Agent.SUC.Gen, Win32/Simda, WinNT/Simda.gen!A
Publicado el 22 diciembre 2011 ¬ 16:39 pmh.mscComentarios desactivados en Una nueva variante de malware desconocida y muy poco controlada (solo 3 AV de 43)
Tanto McAfee como F-Secure lo detectan heuristicamente, y Avast le llama R-loader … Ha sido descargado de internet por ejecucion de un PROXY-EXI El preanalisis de virustotal ofrece este informe: File name: c_726519.nls Submission date: 2011-12-22 15:20:08 (UTC) Result: 3/ 43 (7.0%) VT Community malware Safety score: 0.0% Compact Print results Antivirus Version Last Update […]
Leer el resto de esta entrada »