Inicio de zonavirus, antivirus
SATINFO

Nueva variante de troyano Buzus que ha infectado la Sanidad Española

msc hotline sat
miércoles, 13 de mayo de 2009

Un nuevo troyano ha invadido el área informática de sanidad en España, principalmente en Madrid, siendonos reportados por clientes relacionados con ellos, los problemas consiguientes, que han dado lugar a nuestra investigación y solución del problema:



Se trata de un troyano de la familia BUZUS que se ejecuta desde las carpetas de sistema\drivers\SYSDRV32.SYS y de windir\system\DLLCACHE.EXE , con atributos de oculto y de sistema, lo cual hace difícil su visión desde WINDOWS configurado por defecto.



Se autoejecutan en cada reinicio desde claves RUN y SafeBoot del registro, siendo esta última para que se cargue incluso arrancando en modo seguro.



Ademas crea en las unidades extraibles los siguientes ficheros para que se autopropaguen por pendrive:



X:\ Autorun.inf

X:\ strongkey-rc1.3-build-208.exe



tambien con atributos de oculto y de sistema.



siendo el .exe una copia del DLLCACHE.EXE malicioso, que el AUTORUN.INF lanza desde el siguiente script:





shellexecute=strongkey-rc1.3-build-208.exe

action=Open folder to view files

shell\default=Open

shell\default\command=strongkey-rc1.3-build-208.exe

shell=default





Se recomienda vacunar ordenadores y pendrives con el EliPen y ya a partir del ElistarA 18.60 ya se controla y elimina este troyano y se restauran las claves modificadas.



saludos



ms, 13-5-2009


RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook