Nuevo virus de MSN que genera una nueva variante del ndisio.sys

Un nuevo Virus que llega por MSN en un ZIP o RAR, con características que hacen difícil su detección, está proliferando, por lo que pasamos a informar y avisar del mismo, así como ofrecer nuevas herramientas de control y eliminación.

Se trata de una variante del ya conocido como NDISIO, por generar un NDISIO.SYS en la carpeta C:\windows\system32\drivers, pero con atributos de oculto, de sistema y de sólo escritura (H,S,R)

Sintomas:

• Inhabilita la opción de ver ficheros ocultos, por lo cual no se llega a poderlo ver desde Windows.
• Deshabilita la edición del Registro de sistema
• Deshabilita la ejecución de ficheros desde “Inicio | Ejecutar”
• Impide ejecutar el “COMMAND” (aunque se disponga de un acceso directo), de este modo no se puede acceder al DOS
• Impide el acceso al “Administrador de Tareas”
• Modifica la clave SafeBoot de forma que no se puede iniciar en “Modo seguro”.
• Modifica el HOSTS, de esta forma impide acceder a las URL de las principales empresas antivirus y así evitar actualizaciones y escaneos ONLINE.

Detección y Eliminación:

Todo ello lo solucionamos ya con nuestras utilidades, habiendo sido difícil conocerlo y controlarlo ya que, además, se regenera, y es ocultado por  otro malware que se carga como presunto driver de Symantec:  Run: [Symantec Remote Services] symrdserv.exe

Dicho fichero está en la carpeta de sistema, normalmente C:\windows\system32\ , pero con atributos de oculto.

Por ello de entrada ya con el ELISTARA v17.34 pedimos muestra de dicho fichero, y lo movemos, ya sin atributos, a la carpeta C:\muestras\ , para que nos lo envíen para analizar y controlar.

Ya partir de la versión 17.36 se controlan los dos, el Symrdserv.exe y el Ndisio,sys

El archivo ndisio.sys denota su presencia por generar un error cuando se reinicia el equipo sin conexión a Internet, mostrando un pantallazo azul indicando que " El archivo ndisio.sys ha generado un error. Stop 0x000000BE. Intento de escritura en memoria de solo lectura", y se reinicia el ordenador. En tal caso probar con el indicado ELISTARA y ver el informe generado en c:\infosat.txt.

McAfee, como muchos otros antivirus, (AVG, BIt Defender, F-Prot, Fortinet, NOD32, Norman, Panda, Sophos, Symantec, etc ), aun no controla este NDISIO.SYS (sólo el 22,22 % lo detecta actualmente) , si bien ya hemos enviado muestras a McAfee, de momento, si tienen algo similar a lo indicado, probar el ELISTARA y si es el caso, quedará solucionado.

NDISIO.SYS :  File size: 106496 bytes     MD5 : afbdc520a95c2dff481667df0c1b40eb

NOTA: Este troyano NDISIO.SYS no debe confundirse con el que tiene el sistema con nombre muy parecido, NDISUIO.SYS, que hay en la misma carpeta ¡¡¡ Y NO DEBE ELIMINARSE !!!  (ndisuio.sys es un proceso que pertenece al NDIS User Mode I/O (NDISUIO) NDIS protocol driver que ofrece la ayuda para los dispositivos inalámbricos tales como Bluetooth y similares)

Pulse aquí para descargar el EliStarA

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   7 de Noviembre de 2008

Anterior