NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA

www.satinfo.es

Anterior

 

Nuevo malware Backdoor.Rbot.krv, que usa una técnica de antaño para confundir al usuario : ALT 255

 

El carácter ALT 255 es un código en blanco que finaliza la tabla ASCII de manera que, si se emplea, aparece un carácter en blanco que no es un espacio, sino un código sin carácter, el cual utilizábamos en MSDOS para bloqueo de accesos a determinados ficheros cuyo nombre lo incluían, pues al no verse, si no se escribía con las teclas alternativas, no era ejecutado el fichero aunque aparentemente se escribiera bien (pero sin dicho código)

Ello ya no ha tenido sentido en Windows, ya que al ejecutar los ficheros pulsando sobre su icono, es independientemente del nombre que tenga (manteniendo la extensión).

Hoy nos ha sorprendido que al monitorizar un malware, que además se propaga por dispositivos de almacenamiento USB como pendrive, discos duros USB, etc., nos ha creado la siguiente carpeta c:\windows\system32 \ (fijarse en el espacio que hay entre el 2 y la barra invertida con dicho código en blanco), a simple vista se ve como la carpeta de sistema, si bien no tiene nada que ver con ella.

El Troyano en cuestión es el Backdoor.Win32.Rbot.krv , que al ser Backdoor pasamos a controlar con el EliTriIP a partir de la versión de hoy 6.20

 

Características sobresalientes:

%WinDir%\system32+ALT255\smss.exe

%WinDir%\system32+ALT255\win.log

X:\ Autorun.inf (+s+h)

X:\ *********.EXE (+s+h)

evidentemente con atributo de oculto y de sistema para que no sea fácil verlos.

 

Detección y eliminación

Con nuestra utilidad EliTriIP pasamos a detectarlo, eliminando los ficheros troyanos y restaurando las claves modificadas.

Como se propaga por dispositivos de almacenamiento USB (pendrive, memorias SD, etc.), se recuerda la conveniencia de vacunar ordenadores y unidades USB con nuestra utilidad EliPen.exe

Una nueva variante que usa una picardía casi olvidada... ¡ pero muy liosa !

Pulse aquí para descargar EliTriIP

Pulse aquí para descargar EliPen

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   22 de Octubre de 2009

 

Anterior