SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA
|
|
| |
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
| www.satinfo.es | |||
Característica
significativa del malware UNRUY
Existe una
característica significativa del malware UNRUY, que estamos analizando, y que
deben tener en cuenta aquellos usuarios que tengan el sistema afectado.
Si bien con nuestra utilidad EliStarA ya
detectábamos y eliminábamos variantes de dicho troyano, ante el problema
presentado por clientes que, tras eliminarlo, tenían problemas con la ejecución
de las aplicaciones instaladas, hemos monitorizado la muestra de dicho troyano
en un ordenador con dichas aplicaciones instaladas, y hemos visto que crea un
acompañante para cada fichero .EXE lanzado desde:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
añadiendo al
nombre del fichero original, un espacio, antes del .EXE , y copiándose el
malware con el nombre del fichero original.
De este modo, cuando se lance dicha aplicación, primero cargará el malware el
cual lanzará el fichero original renombrado.
Pero si el antivirus detecta y elimina el fichero infectado, la aplicación no
podrá ejecutarse... y requerirá intervención manual.
También el virus se conecta a la siguiente URL:
http://216.94.32.105
detiene los
procesos antivirus/cortafuegos residentes y abre una puerta trasera para
permitir al atacante descargar y ejecutar archivos en el ordenador infectado.
Si el antivirus ha detectado y eliminado dicho virus en un ordenador, y no
funcionan las aplicaciones que hay instaladas, deberá cambiarse el nombre de los
ficheros existentes iguales a los eliminados, pero con un espacio añadido entre
el nombre y el .EXE de la extensión, quitándoles dicho espacio, por ejemplo:
[nombre][espacio].EXE --> [nombre].EXE
A partir de
la versión 20.84 del ELISTARA de hoy, cuando se detecte un fichero infectado con
dicho virus, tras eliminarlo, hará automáticamente dicha operación de
renombrado, dejando así el ordenador sin el fichero infectado y con la
aplicación operativa, pero si los infectados ya se han borrado con algún
antivirus, u otro medio, dicha operación deberá hacerse manualmente, eliminando
el espacio de marras.
No hemos tenido muchas incidencias al respecto, pero ante el problema indicado y
para evitar que pueda seguir pasando, hemos potenciado la utilidad indicada a
partir de la versión 20.84 de hoy
Para cualquier duda al respecto no duden en ponerse en contacto con nosotros.
SATINFO,
SERVICIO DE ASISTENCIA
TÉCNICA INFORMATICA 29
de Abril de 2010