Estamos recibiendo peri\u00f3dicamente nuevas variantes de un malware conocido como DORKBOT, como el que indic\u00e1bamos ayer en:<\/p>\n
https:\/\/www.satinfo.es\/blog\/?p=15332<\/span><\/a><\/p>\n Sabemos que algunos han llegado en un mail con link a http:\/\/<interceptado>.com\/fotos, que ofrece descarga de fichero malware de doble extensi\u00f3n, (Postal_De_Amor.swf.exe) , aparte de ofrecer descarga de fotos normales.<\/p>\n Ayer nos lleg\u00f3 dos de la misma familia, cuyo control y eliminaci\u00f3n pasamos a implementar a partir del ELISTARA de hoy 23.16.<\/p>\n File name: Postal_De_Amor.swf.exe File size : 163840 bytes<\/p>\n publisher….: Reader Drive Como ya indicamos en las noticias anteriores de esta familia, se trata de un ROOTKit que afecta a los dispositivos de almacenamiento USB (pendrives, HD, memorias, etc), ocultando las carpetas existentes al ponerles atributo H y S, y dejando el icono de las mismas con un link a ellas, tras cargar el malware indicado. Y como se indica en la noticia del blog arriba indicada, este virus no crea en los pendrives fichero AUTORUN.INF, sino que emplea t\u00e9cnica de ingenier\u00eda social para su ejecuci\u00f3n por el mismo usuario, al crear en dicho pendrive iconos-links de las carpetas que encuentra y oculta, dichos links ejecutan el malware cuando se pulsa en el icono para acceder a la carpeta en cuestion, aunque luego se acceda a la carpeta indicada.<\/p>\n <\/p>\n PROPAGACI\u00d3N<\/strong><\/span><\/p>\n Se recuerda que hay cuatro formas especiales (aparte de ejecuci\u00f3n normal de un fichero infectado) de que los pendrives propaguen virus, que son:<\/p>\n <\/p>\n ELIMINACI\u00d3N<\/strong><\/span><\/p>\n El ELISTARA detecta y elimina los ya conocidos, restableciendo las carpetas al quitarles el Atributo, pero si se ha sufrido la acci\u00f3n de esta familia y se ha eliminado el malware y queda sin poder ver los iconos de las carpetas ocultas, puede accederse a una ventana del DOS y ejecutar :<\/p>\n ATTRIB\u00a0 \/S\u00a0 \/D\u00a0 x:\\*.*\u00a0 \/S\u00a0 \/D\u00a0 -s\u00a0 -h\u00a0 -r<\/p>\n siendo X: la unidad del dispositivo de almacenamiento USB afectada que se quiere restaurar (UNA VEZ ELIMINADO EL VIRUS)<\/p>\n <\/p>\n Ante cualquier duda sobre el particular, rogamos nos consulten.<\/p>\n <\/p>\n Pulse aqu\u00ed para descargar ElistarA<\/strong><\/span><\/a><\/p>\n SATINFO<\/span>, SERVICIO DE ASISTENCIA T\u00c9CNICA INFORMATICA\u00a0\u00a0\u00a0 06 de Mayo de 2011<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Estamos recibiendo peri\u00f3dicamente nuevas variantes de un malware conocido como DORKBOT, como el que indic\u00e1bamos ayer en: https:\/\/www.satinfo.es\/blog\/?p=15332 Sabemos que algunos han llegado en un mail con link a http:\/\/<interceptado>.com\/fotos, que ofrece descarga de fichero malware de doble extensi\u00f3n, (Postal_De_Amor.swf.exe) , aparte de ofrecer descarga de fotos normales. Ayer nos lleg\u00f3 dos de la misma […]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[8,891,892],"tags":[96,97,90,92,94,91,93,95],"class_list":["post-190","post","type-post","status-publish","format-standard","hentry","category-8","category-otros","category-todos","tag-028754d118135122ea3bfcc7e2b2cf51","tag-7c21b9e19a9f10f96ab41ccc797331f4549ed65d","tag-dorkbot","tag-elistara","tag-generic-pws-bfrc","tag-postal_de_amor","tag-trojan-win32-scar-dvjb","tag-win32dorkbot","category-8-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=190"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/190\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nSubmission date: 2011-05-05 13:57:37 (UTC)
\nResult: 23\/ 34 (67.6%)
\nVT Community not reviewed
\nSafety score: –
\nCompact Print results
\nAntivirus Version Last Update Result
\nAntiVir 7.11.7.156 2011.05.05 TR\/Scar.dvjb
\nAntiy-AVL 2.0.3.7 2011.05.05 Trojan\/Win32.Scar.gen
\nAvast 4.8.1351.0 2011.05.05 Win32:Malware-gen
\nAvast5 5.0.677.0 2011.05.05 Win32:Malware-gen
\nBitDefender 7.2 2011.05.05 Trojan.Generic.KDV.188431
\nCAT-QuickHeal 11.00 2011.05.05 –
\nClamAV 0.97.0.0 2011.05.05 –
\nCommtouch 5.3.2.6 2011.05.05 –
\nComodo 8589 2011.05.05 UnclassifiedMalware
\neSafe 7.0.17.0 2011.05.05 Win32.Refroso.Agea
\neTrust-Vet 36.1.8308 2011.05.05 –
\nF-Prot 4.6.2.117 2011.05.05 –
\nF-Secure 9.0.16440.0 2011.05.05 –
\nFortinet 4.2.257.0 2011.05.05 W32\/Refroso.AGEA!tr
\nGData 22 2011.05.05 Trojan.Generic.KDV.188431
\nIkarus T3.1.1.103.0 2011.05.05 Trojan.Win32.Scar
\nJiangmin 13.0.900 2011.05.05 Trojan\/Scar.aaqz
\nK7AntiVirus 9.100.4563 2011.05.04 –
\nKaspersky 9.0.0.837 2011.05.05 Trojan.Win32.Scar.dvjb
\nMcAfee 5.400.0.1158 2011.05.05 Generic PWS.bfr!c
\nMcAfee-GW-Edition 2010.1D 2011.05.05 Generic PWS.bfr!c
\nMicrosoft 1.6802 2011.05.05 Worm:Win32\/Dorkbot
\nNOD32 6097 2011.05.05 Win32\/Dorkbot.A
\nPanda 10.0.3.5 2011.05.04 Generic Trojan
\nPCTools 7.0.3.5 2011.05.04 –
\nRising 23.56.03.05 2011.05.05 Trojan.Win32.Generic.12862EF0
\nSophos 4.65.0 2011.05.05 Troj\/Mdrop-DKO
\nSUPERAntiSpyware 4.40.0.1006 2011.05.05 –
\nTheHacker 6.7.0.1.187 2011.05.05 Trojan\/Scar.dvjb
\nTrendMicro 9.200.0.1012 2011.05.05 Cryp_VBWrap
\nVBA32 3.12.16.0 2011.05.05 –
\nVIPRE 9193 2011.05.04 Trojan.Win32.Generic!BT
\nViRobot 2011.5.4.4446 2011.05.05 –
\nVirusBuster 13.6.337.0 2011.05.05 Trojan.Scar!MScsx8O9izs
\nAdditional informationShow all
\nMD5\u00a0\u00a0 : 028754d118135122ea3bfcc7e2b2cf51
\nSHA1\u00a0 : 7c21b9e19a9f10f96ab41ccc797331f4549ed65d<\/p>\n
\ncopyright….: n\/a
\nproduct……: CLICK CLACK TICK TACK
\ndescription..: n\/a
\noriginal name: Systro3exe.exe
\ninternal name: Systro3exe
\nfile version.: 900.234<\/p>\n
\nComo sea que actualmente est\u00e1n apareciendo muestras que aun no son conocidas, es importante activar la heuristica avanzada del VirusScan a nivel ALTO, para que las detecte el motor ARTEMIS, mientras no sean conocidas espec\u00edficamente.<\/p>\n\n