En algunas variantes del SIREFEF, este se regenera tras ser eliminado por el ELISIREF, y tras mucho pelear y con la excelente colaboracion del usuario afectado, si bien sabiamos que en alguna ocasion el dropper que regeneraba dicho SIREFEF se escondía en ficheros del antivirus, los cuales infectaba adecuadamente, dicha infeccion no era visible cuando […]

  Las primeras variantes de Buzus, utilizaban nombre de driver de McAfee e instalaban el SIrefef A generaba el fichero X El VBNA actual descarga el Buzus y lo ejecuta, generando Proxy Exi , Sirefef tipo B (sin el X), Simda, etc Y aparte el BUZUS nuevo actualiza el VBNA igual que los proxy exi, que […]

La historia de un nuevo engendro ha empezado !  Al igual que el SIREFEF utiliza los drivers del sistema, PERO ESTE coge uno, infecta sus primeros 110 Kb con el codigo virico, y el resto hasta el final del fichero, usa la última parte del fichero original, con lo que mantiene la informacion de las […]

Una de las plagas que estamos sufriendo es la del SIREFEF, de la familia del ZERO ACCESS, del que ya hemos hablado largo y tendido sobre la utilización del mismo, y ahora inyectan en uno de los ficheros de validación de procesos de McAfee, el código del dropper, por lo que lo pasamos a controlar […]

Si bien parece que ya no se regenera el SIREFEF tras ser eliminado por el ELISIREF (que además, si ha encontrado y eliminado la dichosa carpeta de simulacion de una pseudo carpeta de  desinstalacion de un parche de microsoft, el ordenador queda protegido contra la posterior infección con dicho virus), pero visto que queda un […]

Como sea que actualmente las numerosas variantes del PROXY-EXI, del Sirefef y del CYCBOT instalan un proxy para controlar la navegación del usuario, y si se tiene instalado uno lo sustituyen, y sino instalan el malicioso, y en ambos casos se ha de eliminar, debiendo configurarse de nuevo el proxy deseado si lo usan, o […]

Llegandonos cada día nuevas variantes del SIREFEF (ZERO ACCESS) , A CUAL PEOR, si bien hasta ahora lo  identificabamos con el proceso del junction sobre fichero de cero bytes en C:\windows, con otro en carpeta inaccesible simulando la de una desinstalacion de parches de Microsoft, que con el SPROCES veiamos algo similar a Proceso extraño […]

Conforme habíamos indicado, hemos terminado hoy en SATINFO,  la primera versión automatizada del ELISIREF.EXE, para eliminar las variantes conocidas del SIREFEF  (ZERO ACCESS) Como sea que son varias las barreras a eliminar, procedemos primero a detectar y eliminar la “carpeta” con caracteristicas “Function”, tras lo cual se pide reiniciar. Una vez reiniciado el ordenador sin […]

Complementando la última información sobre el SIREFEF, cabe indicar que los ficheros SYS que escoge para utilizar el malware en su lugar, son los siguientes:   netbt.sys mrxsmb.sys cdrom.sys afd.sys ipsec.sys beep.sys volsnap.sys rdpcdd.sys rasl2tp.sys redbook.sys   Son ficheros de microsoft, que están en la carpeta C:\windows\system32\DRIVERS\ Uno de ellos es escogido en cada infección […]

Ante la mayor presencia del virus SIREFEF (ZERO ACCESS) y si bien ya hemos indicado como eliminarlo en nuestras Noticias al respecto, como sea que tras eliminarlo queda un resto con una carpeta que parece “imborrable” a la vista, ofrecemos como eliminarla manualmente, lo cual miraremos de incluir en una utilidad de eliminacion específica, ELISIREF.EXE, […]

Como sea que a todos los usuarios que han sido infectados por el SIREFEF y les indicabamos la solucion en nuestro blog: https://blog.satinfo.es/?p=20525 , resultaba bastante manual y teníamos que utilizar herramientas externas, (GMER),  hemos ido buscando la manera de deshacernos de este Rootkit automáticamente, y lo hemos logrado con nuestro LIVE CD y el […]

Tras una serie de intentos para evitar que el malware afectara la utilidad suficiente y necesaria para eliminar a dicho Rootkit, y gracias a la persistencia de los técnicos de SATINFO y a la información facilitada por McAfee y por Microsoft sobre los ADS (Alternate Data Stream) https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/23000/PD23412/en_US/McAfee%20Labs%20Threat%20Advisory-ZeroAccess.pdf “NOTE: An ADS is an NTFS structure […]