msc hotline sat Friday, November 7, 2008
Y una vez "pisado" un nuevo NDISIO, en SATINFO hemos enviado mail informativo a los asociados que están apuntados a recibir noticias, lcuyo borrador adelanto a este foro, para su conocimiento, dado que no solo clientes de SATINFO lo han tenido, sino algun que otro usuario del zonavirus: "SATINFO"
NUEVO VIRUS DE MSN QUE GENERA NUEVA VARIANTE DE NDISIO.SYS
Un nuevo Virus que llega por MSN en un ZIP o RAR, con características que hacen difícil su detección, está proliferando, por lo que pasamos a informar y avisar del mismo, así como ofrecer nuevas herramientas de control y eliminación:
Se trata de una variante de uno conocido como NDISIO, por generar un NDISIO.SYS en la carpeta C:\windows\system32\drivers, pero con atributos de oculto, de sistema y de solo escritura (H,S,R)
Ello es habitual en muchos virus, pero además inhabilita la posibilidad de seleccionar ver ocultos, por lo cual no se llega a poder lo ver desde windows
y para mas INRI, aparte de deshabilitar la edición de Registro, y la Ejecución de ficheros desde el Inicio -> Ejecutar, impide ejecutar el COMMAND (CMD.EXE) para que no se pueda acceder al DOS, y para rizar el rizo, modifica la clave SafeBoot de forma que no se puede arrancar en modo seguro...
Todo ello lo solventamos ya con nuestras utilidades, pero es que además se regenera al ser creado paralelamente con otro malware que por lo indicado y la picaresca de cargarse como presunto driver de Symantec, ha sido difícil conocerlo y controlarlo: Run: symrdserv.exe
Aparte modifica el HOSTS impidiendo acceder a las URL de las principales empresas antivirus y así evitar actualizaciones y escaneos ONLINE.
Dichos ficheros están, uno en la carpeta de sistema, normalmente C:\windows\system32\symrdserv.exe, y el otro en la de drivers que cuelga de la de sistema c:\windows\system32\drivers\ndisio.sys , pero ocultos e "invisibles" por lo antes dicho.
Por ello, de entrada, ya en el ELISTARA 17.34 pedimos muestra del fichero symrdserv.exe, y lo movemos , ya sin atributos, a la carpeta C:\muestras\ , y así lo hemos podido recibir y controlar desde la versión 17.36
Y, a partir de esta última indicada, se controlan y eliminan los dos, el Symrdserv.exe y el Ndisio.sys, así como se restablecen las claves modificadas, normalizando el funcionamiento del windows.
El archivo ndisio.sys denota su presencia por generar un error cuando se arranca el equipo sin internet, apareciendo un pantallazo azul indicando que " El archivo ndisio.sys ha generado un error. Stop 0x000000BE. Intento de escritura en memoria de solo lectura", y se reinicia el ordenador. En tal caso probar con el indicado ELISTARA y ver el informe generado en c:\infosat.txt.
McAfee, como muchos otros antivirus, (AVG, BIt Defender, F-Prot, Fortinet, NOD32, Norman, Panda, Sophos, Symantec, etc ), aun no controla este NDISIO.SYS (solo el 22,22 % lo detecta actualmente) , si bien le hemos enviado muestras a tal fin, pero mientras, si tienen algo similar a lo indicado, probar el ELISTARA y si es el caso, quedará solucionado.
NDISIO.SYS : File size: 106496 bytes MD5 : afbdc520a95c2dff481667df0c1b40eb
saludos
SATINFO, 6-11-2008
NOTA: Este troyano NDISIO.SYS no debe confundirse con el que tiene el sistema con nombre muy parecido, NDISUIO.SYS , que hay en la misma carpeta Y NO DEBE ELIMINARSE !!! (ndisuio.sys es un proceso que pertenece al NDIS User Mode I/O (NDISUIO) NDIS protocol driver que ofrece la ayuda para los dispositivos inalámbricos tales como Bluetooth y similares)
saludos ms, 7-11-2008
|
 RSS Noticias RSS Articulos RSS Descargas
>> Compartir
comparte con tus amigos, zonavirus.com
|
