| |||
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
www.satinfo.es |
Nueva versión de SPROCES 4.0 y consiguientes
mejoras en EliStarA sobre detección de nuevas variantes del Trojan.Agent.Abue
Ya, desde hace algunos días, descubrimos una nueva técnica usada por los virus, para lanzar el fichero infectado, y es hacerlo servir de “debugger” interceptando la ejecución de ficheros inocentes y habituales, y así cargarse en memoria.
Hasta ahora el SPROCES (como el HJT), no tenía en cuenta las claves de debugueo, pero a partir de la nueva versión de ayer, 4.0 , en el apartado de Información Adicional, se visualizan, entre otras, las claves que hubieran de "Image File Execution Options" "Debugger" , con lo que nos da a sospechar que el fichero que allí se indica está siendo utilizado como debugueador de otro interceptado (que no importa cual sea pues lógicamente será uno habitual, como el CTFMON.EXE) pero gracias a ello podremos pedir muestra del sospechoso en cuestión.
Lo mismo, pero ya mas propiamente, eliminándolo si es de los malwares conocidos, o moviéndolo a c:\muestras si aun no es conocido, y pidiendo muestra para analizar, hacemos con el EliStarA, a partir de la versión de ayer del 19.31
Ello es un gran paso para detectar, o al menos sospechar, de ficheros que utilizan esta técnica y que últimamente están proliferando entre variantes nuevas, aun no controladas por los antivirus, y que tras recibir las muestras, pasaremos a controlar, si procede.
Sirva ello para que tengan presente actualizar dichas utilidades y usar estas nuevas versiones (o las últimas que hubiere cada día, en el caso del ELISTARA que se actualiza a diario)
Por otro lado les recordamos que mañana jueves 24 de Setiembre, es Fiesta Mayor en Barcelona (Virgen de la Merced) y todas las empresas de dicha ciudad están cerradas, incluida la nuestra, claro, pero que el viernes por la mañana volveremos a estar disponibles para lo que requieran.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 23 de Septiembre de 2009