EliSiref 2.14

Ante la mayor presencia del virus SIREFEF (ZERO ACCESS) y su complejidad para su eliminacion hemos creado ELISIREF.EXE

Cabe indicar que los ficheros SYS que escoge para utilizar el malware en su lugar, son los siguientes:

• netbt.sys
• mrxsmb.sys
• cdrom.sys
• afd.sys
• ipsec.sys
• beep.sys
• volsnap.sys
• rdpcdd.sys
• rasl2tp.sys
• redbook.sys

Son ficheros de microsoft, que están en la carpèta C:windows system32 DRIVERS

Uno de ellos es escogido en cada infección de dicho RootKit, para esconder el malware, y mientras está activo en memoria, al copiarlo o mirar sus propiedades, veremos el de microsoft, pero realmente el que utiliza el sistema es el malware

Ello forma parte de la complejidad de dicho engendro, que entre que utiliza la función junction para asignar ficheros a carpetas, ademas de utilizar tecnicas de rootkit y esconderse en una carpeta oculta del tipo de desinstalacion de parches, de los que todos tenemos muchas, y ademas usar estructura ADS dentro de la NTFS

NOTA ACLARATORIA:
Este bicho utiliza un driver aleatorio de windows, y al eliminar el virus se elimina el driver, el cual si no lo repone windows, debe reponerse manualmente.

La manera de solucionarlo es copiando dicho fichero de otro ordenador con el mismo sistema, a la carpeta DRIVERS, para lo cual puede ser necesario arrancar con otro medio, LIVE CD / BART PE o colocando el disco duro como esclavo en otro ordenador limpio, o lanzar una REPARACION DE SISTEMA, que sobreescribe todos los ficheros de windows (tras lo cual procede un windowsupdate para instalar los parches en dichos nuevos ficheros), pero de esto a formatear y empezar de cero...

Cada día tenemos nuevas variantes de este bicho, con nuevas historias, que vamos controlando a medida que vamos conociendo, y lo peor es que al actualizarse bajan ademas otras historias como BUZUS, VBNA, PROXY.EXI, SIMDA, etc, todos ellos relacionados con el SIREFEF y posiblemente alguno que aun no conocemos...

En algun caso, el driver que ha utilizado aleatoriamente el SIREFEF, se requiere en el inicio, y tras la limpieza, algun equipo no arranca, y debe reponerse dicho driver eliminado, para que vuelva a arrancar el equipo, para lo cual lo mas fácil y seguro es lanzar una REPARACION DE SISTEMA.