NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA

www.satinfo.es

Anterior

 

 

Familia de Malwares Navipromo

 

Los NAVIPROMO son una familia de malwares que se hacen pasar por una aplicación "legal" para engañar a los usuarios, como por ejemplo, el de un conocido programa totalmente legal, para acceder a diversos juegos online, provocando que sea el propio usuario el que la ejecute. Esta técnica utilizada se denomina "ingeniería social".

 
Método de infección
 

Cuando el usuario ejecuta el archivo que contiene el malware, aparece un mensaje de error, y aunque se abra una ventana con dos botones, a elegir entre ACEPTAR o NO, da igual, el ordenador ya ha sido infectado.

 
Características

Los Navipromo son difíciles de detectar, y se ejecutan de forma silenciosa en el ordenador infectado. Utilizan técnicas de rootkit para ocultar sus propios procesos en memoria, sus archivos y sus entradas del registro.

 

Durante la descarga de ficheros por Internet, se crean otros archivos en la carpeta de sistema. Estos archivos están ocultos, tienen nombres aleatorios, pudiendo tener los siguientes sufijos:

.dat
_nav.dat
_navps.dat
_navup.dat
_navtmp.dat
_m2s.xml
 

Los Navipromo también pueden crear la siguiente subclave del registro, que lanza  el proceso en cuestión, la cual oculta y no puede verse con el REGEDIT; ni tampoco con el HJT, pero sí con nuestro SPROCES. Esta clave es similar a:

 
O4 -HKLM\..\Run: [valor variable] <nombre y ruta de fichero.exe> [parametro]
 
fichero que acostumbra a ubicar en la carpeta de sistema.
 
 
Síntomas
 

El malware permite al coder hacer el seguimiento de toda la actividad del ordenador infectado, e incluso acceder a dicho PC, así como canalizar más malwares hacia dicho ordenador y desactivar el software antispyware, antivirus y cortafuegos por siftware, así como impedir el acceso a webs de casas antivirus.

Su mayor peligro estriba en que la inmensa mayoría de los antivirus no lo detectan ... como observamos en muchas muestras solicitadas por el ELISTARA , resultando ser todas ellas variantes de dicho malware, y que hemos pasado a controlar y eliminar con nuestra indicada utilidad, gracias a habernos sido enviadas dichas muestras, de las que, como ejemplo, informamos de las 10 últimas:

(Extraido de informes de VirusTotal)

 
File WGWYW.EXE.Muestra_EliStartPage_v1 received on 11.12.2008 11:59:52 (CET)
Current status: finished Result: 2/36 (5.56%)
Tamano archivo: 327680 bytes 
MD5...: 5a35760ab9347970297b9259cffe49ac 
 
File WOKCAAU.EXE.Muestra_EliStartPage_ received on 11.13.2008 11:59:25 (CET)
Current status: finished Result: 2/36 (5.56%)
Tamano archivo: 339968 bytes 
MD5...: adf03726f49cd6cadc3ae03d7b17cc9a 
 
File MDCRIHE.EXE.Muestra_EliStartPage_ received on 11.17.2008 09:49:39 (CET)
Current status: finished Result: 1/36 (2.78%)
Tamano archivo: 368640 bytes 
MD5...: 020ab586d841af71e37b29a4941f9077 
 
File SMCGS.EXE.Muestra_EliStartPage_v1 received on 11.20.2008 17:36:49 (CET)
Current status: finished Result: 3/36 (8.33%)
Tamano archivo: 316416 bytes 
MD5...: 73a87b74b93d0fee8b92ecd86ea5f78b 
 
File FTKIFWMC.EXE.Muestra_EliStartPage received on 11.26.2008 17:47:58 (CET)
Current status: finished Result: 1/37 (2.70%)
Tamano archivo: 368640 bytes 
MD5...: da063d997e345299b74ed0f3935f779d 
 
File YKUGYCN.EXE.Muestra_EliStartPage_ received on 11.13.2008 11:12:03 (CET)
Current status: finished Result: 3/36 (8.33%)
Tamano archivo: 303104 bytes 
MD5...: 0de0df8439f8f5c60f4b85135f595931 
 
File CUAUE.EXE.Muestra_EliStartPage_v1 received on 11.17.2008 09:27:47 (CET)
Current status: finished Result: 1/36 (2.78%)
Tamano archivo: 307200 bytes 
MD5...: 9d0bdd87a5745feb9e30a089b621de5c 
 
 
File BQFUJET.EXE.Muestra_EliStartPage_ received on 11.18.2008 16:52:34 (CET)
Current status: finished Result: 2/36 (5.56%)
File size: 316416 bytes 
MD5...: 972ed2ece4b558cd933afae630ef3331 
 
File LKHEF.EXE.Muestra_EliStartPage_v1 received on 11.24.2008 13:19:15 (CET)
Current status: finished Result: 2/37 (5.41%)
Tamano archivo: 299008 bytes 
MD5...: cea15e2427b58f1f48fb8d04319f1bd4 
 
File MCYCOIC.EXE.Muestra_EliStartPage_ received on 11.28.2008 22:34:42 (CET)
Current status: finished Result: 1/37 (2.70%)
Tamano archivo: 351744 bytes 
MD5...: 1831d86eea9891ce5f1e167c7686fe8e 
 
 

y así varios cientos que hemos ido recibiendo y controlando... si bien como máximo solo 2 o 3 antivirus de 36-38 , los detectan.

 

Eliminación

Con el ELISTARA se detectan y eliminan varios cientos de variantes del mismo, y se piden muestras de sospechosos desconocidos, que pasamos a controlar y eliminar en las siguientes versiones de dicha utilidad.

Sirva esta información para advertir que, por entrar en webs desconocidas, por ejecutar ficheros descargados, o por ficheros recibidos por P2P, nos podemos infectar de muchos malwares, estos por ejemplo, apenas controlados por los antivirus.

No hay que confiarse, los antivirus no pueden conocerlo todo, hay que complementarlos con el sentido común de cada usuario, que puede ser el mejor aliado, y ante cualquier rareza en el ordenador o sospecha de anomalía, lentitud del equipo, popups o mensajes inesperados, tras lanzar un escaneo por si fuera algo ya conocido actualmente, probar nuestras utilidades mas conocidas, como EliStarA, EliTriIP, EliBaglA, EliPen, ... y si no detectan nada, ni se pide envío de muestras en c:\infosat.txt, y persiste alguna anomalía, contacte con nosotros.

 
Pulse aquí para descargar ELISTARA:EXE

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA    5 de Diciembre de 2008


 

Anterior