La cruzada de Microsoft contra las botnets arrasó la semana pasada, cuando el gigante de la computación de Redmond, Washington y una coalición de agencias de orden público y compañías de seguridad de Internet, desmantelaron la notoria botnet conocida como ZeroAccess. ZeroAccess o Sirefef, como suele llamarla Microsoft, es una plataforma de malware dirigida a […]

A pesar de que la nueva variante del SIREFEF.F ubica su malware en rutas UNICODE de casi imposible acceso, y para su eliminación se requería actuar manualmente sobre las carpetas, claves y servicios creados por dicho virus, tras buen tiempo de estudio y trabajo de los técnicos de SATINFO, aplicando toda la experiencia de mas […]

Variante del Sirefef que se instala en carpeta de dificil acceso (???\???\???\) por lo que tras lanzar el ELISIREF para eliminar el DESKTOP.INI, el resto debe hacerse manualmente 1.- Renombrar la Carpeta {*******} (por ejemplo:  {4a6449b8-ef85-b032-2880-2268992d161e} )que cuelga de  C:\Documents and Settings\<USUARIO>\Configuración local\Datos de programa\Google\Desktop\Install\  por ” MALWARE” (Nota: en Windows7 sería C:\users\<USUARIO>\Appdata\local\Google\Desktop\Install\ )   2.- […]

El worm VBNA es un downloader que descarga cantidad de nuevos malwares, como el el SIREFEF, el FAKE WRITE, el WALEDAC, el PROXYEXI, etc, además de actualizarse a la última versión, los cuales se van controlando a medida que van apareciendo, afortunadamente cazados generalmente por el sistema heurístico, tanto de nuestras utilidades (ELISTARA, ELIVBNA, ELISIREF, […]

Visto que en la monitorizacion del fichero que se recibe anexado a un e-mail, el cual desempaqueta fichero con doble extension *.PDF.EXE, que inicialmente ayer detectamos como PWS FAREIT , es además un downloader del tipo TEPFER, que descarga malwares tan conocidos como el VBNA, el SPY ZBOT, el CUTWAIL y los que tenga programados […]

El rootkit ZEROACCESS y de ellos la variante SIREFEF, que vamos controlando con el ELISIREF, es detectado por bastantes antivirus (28 de 43), pero no lo logran eliminar, debido a su ocultamiento y atributos aplicados a los ficheros y carpetas que instala dentro de la papelera. A partir de la version 2.06 del ELISIREF de […]

  Son varios los usuarios que han detectado la anomalía de tener los iconos alineados a la izquierda de la pantalla, y algunos de ellos han detectado con el VIRUSSCAN el Zeroaccess, y examinando las muestras enviadas habíamos encontrado el SIREFEF.D, que ya controlamos con el actual ELISIREF Pero mas allá de eliminar dicho virus, […]

Aparte de las variantes del virus de la policia, o winlock o Reveton, que sube al podio en primer lugar este último mes, cabe indicar otros que le siguen de cerca, como el Fake Tool Smart con todas sus variantes de Fortress2012, HDD Data Recovery y Data Recovery 2, y por otro lado los descargados […]

Una nueva muestra pedida por el ELISIREF pasa a ser controlada a partir del ELISIREF 1.86 de hoy EL preanalisis de virustotal ofrece el siguiente informe: SHA256: ba4a73de284685b8ff31164c619c72c6407a477186ea06506f8f70ab3e078163 SHA1: 49062c90fd9987efa4e2251a4525f567b4636c9f MD5: f08d5636f08650a5d593f0b2ad748370 Tamaño: 445.9 KB ( 456576 bytes ) Nombre: mrxsmb.sys.Muestra EliSirefef v1.85 Tipo: Win32 EXE Detecciones: 14 / 42 Fecha de análisis: 2012-04-10 13:27:55 […]

Algunas variantes del Sirefef se protegen contra su eliminación, de manera que en sistema WINDOWS 7 hace falta reiniciar finalmente en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA para que nuestra utilidad pueda acabar con él. Por ello, a partir de la versión de hoy del ELISIREF 1.45, una vez  eliminada la carpeta dichosa ($NTUNINSTALLKB…) […]

Aparte de lo indicado en la noticia anterior sobre el IPSEC.SYS que puede haber sido afectado por el SIREFEF, hay otros 4 ficheros de entre los drivers mas escogidos por dicho malware, que conviene tener en cuenta: NETBT.SYS si se ha perdido la conexion de red (intranet) CDROM.SYS si no funciona el dispositivo de CDROM […]

Cuando el Sirefef ha escogido el driver IPSEC.SYS para sus propósitos, y una vez eliminado dicho virus con el ELISIREF, y comprobado que se haya regenerado dicho fichero en C:\windows\system32\drivers\ , si tras reiniciar no se tiene conexion a internet, conviene seguir las instrucciones que ofrece Microsoft para restablecer el protocolo TCPIP, indicado en: http://support.microsoft.com/kb/299357 […]