{"id":900,"date":"2014-03-31T16:25:01","date_gmt":"2014-03-31T14:25:01","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=900"},"modified":"2014-03-31T16:27:06","modified_gmt":"2014-03-31T14:27:06","slug":"nueva-variante-de-trojan-sisron-cf-que-modifica-permisos-de-ficheros-y-deja-los-ficheros-lanzados-en-todas-las-claves-o4-a-cero-bytes","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2014\/nueva-variante-de-trojan-sisron-cf-que-modifica-permisos-de-ficheros-y-deja-los-ficheros-lanzados-en-todas-las-claves-o4-a-cero-bytes\/","title":{"rendered":"Nueva variante de Trojan SISRON.CF que modifica permisos de ficheros y deja los ficheros lanzados en todas las claves O4 a cero bytes"},"content":{"rendered":"

Una nueva y temible variante de esta familia de troyanos, descargado por un downloader, cambia su actuaci\u00f3n que hasta ahora afectaba unicamente las claves de:<\/p>\n

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]<\/p>\n

a\u00f1adi\u00e9ndoles permisos especiales a \u00abTodos\u00bb para que no puedan ser modificadas y quitando permisos a los ficheros que lanzan, de manera que no se puedan ni tocar, pero ahora esta nueva variante lo hace sobre todas las claves O4 , SOBREESCRIBIENDO A CERO BYTES los ficheros por ellas lanzados:<\/p>\n

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
\n[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
\n[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
\n[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]<\/p>\n

A partir del ELISTARA 29.66, pasamos a controlar este nueva variante del malware, si bien \u00a0se deber\u00e1 a\u00f1adir otro proceso como el ELRSTRUI, para recuperar los ficheros y claves modificadas, por las existentes en el RESTORE de un punto anterior, si se tiene activo el RESTAURAR SISTEMA, claro, y se dispone de un punto de restauraci\u00f3n reciente, anterior a la infecci\u00f3n.<\/p>\n

El prean\u00e1lisis de Virustotal ofrece este informe:
\nMD5 41c641de2189a7cb3ba501a1af26cec9
\nSHA1 b37001e8fca34dce2aa15aa948c2d6e142929353
\nTama\u00f1o del fichero 242.0 KB ( 247808 bytes )
\nSHA256: 0d09632ce63a52b2b2e3602fd8b01664e45e26964c7b37696e4c6cbf238816c6
\nNombre: nt32.exe
\nDetecciones: 5 \/ 51
\nFecha de an\u00e1lisis: 2014-03-26 10:18:25 UTC ( hace 0 minutos )<\/p>\n\n\n\n\n\n\n\n\n
Antivirus<\/strong><\/td>\nResultado <\/strong><\/td>\nActualizaci\u00f3n<\/strong><\/td>\n<\/tr>\n
DrWeb<\/td>\nTrojan.PWS.Panda.6639<\/td>\n20140326<\/td>\n<\/tr>\n
ESET-NOD32<\/td>\na variant of MSIL\/Injector.DEZ<\/td>\n20140326<\/td>\n<\/tr>\n
McAfee<\/td>\nArtemis!41C641DE2189<\/td>\n20140326<\/td>\n<\/tr>\n
McAfee-GW-Edition<\/td>\nArtemis!41C641DE2189<\/td>\n20140326<\/td>\n<\/tr>\n
Sophos<\/td>\nMal\/Generic-S<\/td>\n20140326<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Siempre es importante prevenir e impedir la entrada de los nuevos malwares como este, como sea que el VirusScan de McAfee ya lo detecta heuristicamente, conviene configurar la sensibilidad heuristica a nivel ALTO, lo cual se logra accediendo a la Consola de VirusScan -> Analizador en Tiempo Real -> En la secci\u00f3n \u201cArtemis\u201d \u201cNivel de sensibilidad\u201d configurarlo en ALTO.<\/p>\n

Tambi\u00e9n es muy importante tener instalado el SITEADVISOR de McAfee (protector de acceso a webs) , recomendamos tenerlo en cuenta para controlar, no solo los malwares conocidos, sino, adem\u00e1s, variantes de los mismos que, con lo indicado, se pueda evitar su entrada.<\/p>\n

SATINFO<\/span>, SERVICIO DE ASISTENCIA T\u00c9CNICA INFORMATICA \u00a0 31 de Marzo de 2014<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Una nueva y temible variante de esta familia de troyanos, descargado por un downloader, cambia su actuaci\u00f3n que hasta ahora afectaba unicamente las claves de: [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] a\u00f1adi\u00e9ndoles permisos especiales a \u00abTodos\u00bb para que no puedan ser modificadas y quitando permisos a los ficheros que lanzan, de manera que no se puedan ni […]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[517,891,892],"tags":[542,541],"class_list":["post-900","post","type-post","status-publish","format-standard","hentry","category-517","category-otros","category-todos","tag-sisron","tag-trojan","category-517-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/900","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=900"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/900\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=900"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=900"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=900"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}