SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA
|
|
| |
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
| www.satinfo.es | |||
Descubierto nuevo método para ejecutar ficheros malwares sin intervención del registro de sistema, hemos creado una nueva utilidad al respecto ELIWBOY.EXE, para detectar, restaurar, y controlar todos los ficheros relacionados con el W32/WBOY
Como sea que ayer descubrimos que el virus infector W32/WBOY.A infectaba ficheros ejecutables sin alterar su tamaño (solo modifica 120 bytes en zona de ceros), ni la fecha del fichero modificado, y que cada uno de ellos lanzaba otro de dentro del ordenador, con lo que, al ejecutar uno del sistema, aparentemente normal (como el CALC.EXE) , aparte de ejecutarse este, ejecutaba en segundo plano el otro, se tomó la decisión de desarrollar la nueva utilidad ELIWBOY.EXE que no solo restablecerá la normalidad a los ficheros modificados indicados, sino que además copiará los ficheros objetos de lanzamiento, a C:\muestras\, borrándolos de su sitio original y pidiendo envío de muestras para analizar y controlar.
Hemos de reconocer que en las máquinas de monitorización, alguno de los cientos de ficheros que ensayamos a diario, nos infectó con este nuevo especimen, y que en los ordenadores de pruebas detectamos mas de 700 ficheros infectados de esta manera, con tamaño y fechas normales del sistema operativo, pero con 120 bytes diferentes en su interior, suficientes para lanzar otro fichero de una ruta determinada, y que con el nuevo ELIWBOY.EXE lo pasamos a controlar totalmente, tanto los infectados como los que eran lanzados por ellos.
Evidentemente puede que alguno lanzara algún fichero bueno, por ello no los borramos inicialmente, solo los movemos a la carpeta C:\muestras\, desde donde, si se quiere, se pueden volver a copiar a su sitio si se creyera oportuno, aunque normalmente no creemos que sea el caso... :)
Lo malo de ello es que se abre una nueva manera de ejecución de troyanos casi imperceptiblemente, sólo si se conoce el virus infector, pero que con los medios habituales como el HJT o el SPROCES, nada que ver en el registro de sistema, simplemente es la ejecución de alguno de los ficheros habituales (nosotros teníamos 700 en máquinas de prueba!) es lo que causa el lanzamiento involuntario de los otros ficheros malwares...
Las muestras que pida dicha utilidad al ser ejecutada, conviene que nos las envíen, aunque ya estén fuera de circulación, veremos lo que son y pasaremos a controlarlas, y si alguna no fuera malware, lo indicaríamos para que pudieran restaurarla a su sitio, si lo creyeran oportuno.
Pulse aquí para descargar EliWBoy.exe
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 8 de Julio de 2010