NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA

www.satinfo.es

Anterior

 

Nuevos métodos que usan algunos malwares (como el UNRUY, el Swisyn y el último SCAR)  y que no corrigen los antivirus (pero sí el ELISTARA)

 

Los antivirus detectan y eliminan los malwares que conocen, eliminando los ficheros maliciosos e incluso algunos restaurando las claves modificadas, pero hay "hechos" que hacen algunos de los últimos malwares (y que ya vemos que no solo lo hace uno solo, sino que ha "gustado" y ya está siendo aplicado en otros...) que no solucionan los antivirus, para lo cual ofrecemos nuestras utilidades complementarias, especialmente el ELISTARA.EXE

 

UNRUY

Como recientemente ya indicamos en una noticia al respecto del mismo, lo que hace el UNRUY es que utiliza ficheros de compañía, para lo cual renombra los ficheros .EXE que son lanzados desde claves del registro HKLM y HKCU .../RUN , a otros con el mismo nombre pero añadiendo un espacio antes del punto de la extensión, y el malware ocupa el lugar del nombre inicial, de forma que cuando se llama a la aplicación, primero se ejecuta el malware y al finalizar la carga del mismo, lanza el fichero original renombrado, con lo que funciona todo, incluido el virus..., al ser detectado por los antivirus, estos eliminan el fichero infectado, pero tras reiniciar, la aplicación afectada no funciona, al estar con el nombre modificado, mientras que con el ELISTARA, a todos los ficheros .EXE en los que se detecte dicho virus, se elimina y se renombra el del mismo nombre con el espacio de marras, quitándole dicho espacio.

 

SWISYN

Este otro malware, aparte de bloquear el arranque del ordenador, en cualquier modo, en los días que coinciden con el mes (1 de Enero, 2 de Febrero, 3 de Marzo...) adolece de que crea carpetas protegidas "imborrables", tanto en el disco duro como en las unidades de almacenamiento USB como pendrive, memorias, etc., y que también infecta para propagarse, las cuales no se eliminan fácilmente si no es con utilidades que lo tengan contemplado como el ELISTARA.  Limpiándolo con un antivirus, si lo detecta, las carpetas quedan tanto en el disco duro como en el dispositivo de almacenamiento USB. Además este virus crea claves Winlogon al "Taskman", al estilo del Palevo, como también en el "Shell" del explorer y otras dos al "Loginrun", las cuales son restauradas, además de eliminar las carpetas "imborrables" indicadas.

Como este también hay ya otro, el AUTORUN.JVW, que, a veces abre la bandeja de la lectora de CD, otras mueve el puntero del ratón, y otras invierte los botones del ratón..., pero, igual que el anterior, crea carpetas protegidas "imborrables", que el ELISTARA elimina además de eliminar el virus y restaurar las claves modificadas.

 

Scar.ccdq

Este nuevo malware oculta todas las carpetas del Root poniéndoles atributos de  S, H, R  y se copia con su nombre (y extensión .EXE), y con icono de carpeta, para que el usuario que no vea las extensiones, por estar ocultas por defecto en windows, se confunda y pulse en dicho icono para entrar en ellas, si bien lo que hace entonces es ejecutar el troyano.

Lo que ven en este caso los usuarios de XP, es que el icono de dichas carpetas es vertical, estilo VISTA o Windows 7, lo cual se aprecia y puede descubrir su presencia, aparte de que si se tiene configurado para ver extensiones, se verá que dichas carpetas tienen extensión de ejecutable, típico de algunos virus que usan esta treta para conseguir ser ejecutados por el usuario. Además este malware intercepta la ejecución de  ficheros con extensión .EXE, creando una copia de sí mismo como LOGOUIX.BAT en la carpeta de sistema, y lanzándose desde el registro como tal :HKLM...\command] @="logouix.bat "%1" %*". El ELISTARA no solo elimina el bicho sino que restaura los atributos a las carpetas originales devolviendo la normalidad al equipo.

Como este, hay también otro, el AUTORUN.O, que también oculta las carpetas del ROOT y se pone en su lugar, aparte de que detiene el proceso REGEDIT.EXE y modifica el HOSTS redireccionando las URL de las empresas antivirus hacia el local HOST para impedir su acceso a ellas, y se propaga por dispositivos de almacenamiento USB como pendrive, etc., a diferencia del anterior que no lo hacía.  Todo lo cual es también restaurado por el ELISTARA, incluso las carpetas originales modificadas.

 

Conclusión:

Aparte del ELISTARA tan conocido y recomendado, como ya se ve que muchos malwares luego se propagan por dispositivos de almacenamiento USB, recomendamos ejecutar el ELIPEN en todos los ordenadores para evitar sean infectados por dicho medio, y a los dispositivos de almacenamiento USB  protegerlos igualmente para evitar que propaguen dicho tipo de virus a ordenadores no protegidos.

 

Pulse aquí para descargar EliStarA

Pulse aquí para descargar EliPen

 


SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   7 de Mayo de 2010

 

Anterior