SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA
|
|
| |
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
| www.satinfo.es | |||
Resumen incidencias del virus W32 / Conficker.c y nuevas variantes del troyano W32 / Waledac
INCIDENCIA con W32 / Conficker.c
Aparte de informar que, gracias a las medidas tomadas contra el Conficker y la concienciación de los usuarios para que instalaran los parches pendientes, ayer no hubo mas incidentes que los normales, con dicha familia, típicos de empresas cuya normativa es la de no aplicar parches, o que no los aplican por incompatibilidad con sus aplicaciones, o porque el windowsupdate no les actualiza..., por cualquier razón, pero la gran campaña mediática al respecto, hizo que su temida gran proliferación no fuera la que hubieran querido sus creadores, a pesar que en el estudio de AvertLabs sobre dicha variante, se observan las nuevas técnicas de búsqueda de servidores para infectar, lo cual confirma que realmente en cantidad y método, esta variante ha sido muy potenciada respecto los anteriores:
http://www.avertlabs.com/research/blog/index.php/2009/04/01/confickerc-on-the-wire-2/
Nuevas variantes del troyano W32 / Waledac
Nuevas incidencias de esta familia nos han hecho estudiarla a fondo e implementar su control y eliminación a partir del EliTriIP 5.68
Se trata de un troyano que venía en las típicas postales como la del día de los enamorados del 14 de febrero, pero que en Marzo llegó por mail simulando venir de la Agencia de Noticias Reuters sobre explosiones en varias ciudades de todo el mundo, típico uso de ingeniería social para hacer abrir el fichero adjunto, que resulta ser el troyano.
http://securitylabs.websense.com/content/Alerts/3321.aspx
Una vez ejecutado en el equipo, hace de las suyas, mueve el userinit.exe a win32x.exe en la carpeta de sistema y crea un rootkit con igual nombre pero extensión .SYS en la carpeta de drivers que cuelga de la de sistema, y se copia a sí mismo con el nombre del userinit.exe movido, pero utilizándolo tras la carga del troyano.
Los ficheros en Windows XP quedan de la siguiente forma:
C:\windows\system32\usernit.exe (ejecutable del waledac)
C:\windows\system32\win32x.exe (copia del userinit.exe inicial)
C:\windows\system32\drivers\win32x.sys (rootkit del waledac)
El rootkit en cuestión impide ver todos ellos, a no ser que se arranque en modo seguro, en cuyo caso no se carga dicho rootkit y podemos acceder al troyano y eliminarlo, así como restaurar el userinit.exe correspondiente.
Algunos antivirus detectan dicho virus con otro nombre del que lo detecta McAfee W32/Waledac.gen.e, como Packed.Win32.Krap.m o Win32.Walpak
Con el EliTriIP si se lanza en modo normal, y entiende que hay dicho troyano, sugiere que se arranque en modo seguro, una vez arrancado el sistema en dicho modo y lanzado de nuevo la utilidad se elimina el servicio del rootkit, el troyano y se restaura a la normalidad, siempre y cuando no se hayan eliminado ficheros de copia de seguridad como el win32x.exe, queriendo "arreglar" el desaguisado, típico de que a veces es peor el remedio que la enfermedad...
Su componente Backdoor abre puertos TCP aleatorios para recibir comandos de intrusos en forma remota.
Luego el gusano se conecta a direcciones IP predefinidas para enviar información robada del sistema infectado, usando el comando HTTP POST...
Este troyano w32/Waledac, junto con el w32/Conficker, los OnLineGames (que no paran de aparecer cada día de nuevos), los Trojan.Agent, casi todos los cuales se propagan por dispositivos de almacenamiento de memoria USB (pendrive, HD USB, etc.) por lo que recomendamos vacunar los sistemas y los dispositivos con nuestro EliPen, los temibles Bagle (con sus rootkits), y los antiguos y persistentes VUNDO, aparte de los infecciosos VIRUT, es el panorama con el que mas a menudo nos enfrentamos actualmente en el día a día, pero que vamos controlando con éxito entre el antivirus de McAfee y nuestras utilidades.
Pulse aquí para descargar EliPen
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 2 de Abril de 2009