 |
||
Worm polimorfico VBNA que vamos a detectar y eliminar con una nueva utilidad ELIVBNA.EXEmsc hotline sat Thursday, March 25, 2010 Tras tener aparcadas unas 15 muestras de una familia que va cambiando su codigo cada vez que se instala en un equipo, lo cual dificulta enormemente su detección, hemos clasificado en 5 subgrupos dichas muestras y visto que en cada grupo se comportan igual, si bien los grupos de 8 bytes que cambian en cada infeccion son distintos de un grupo a otro, por lo que se ha tenido que hacer 5 detecciones diferentes, si bien con ello podemos decir que las cinco variantes que conocemos, las pasaremos a controlar o a pedir muestra para ello. Los nombres con los que se conocen son: Worm.Win32.VBNA.isu (Kaspersky) W32/VBNA.worm (McAfee) Trojan.Siggen.4099 (DrWeb) Worm:Win32/Vobfus.C (Microsoft) Win32:VB-NIK (Avast) Win32/AutoRun.VB.GA (NOD32) Las caracteristicas mas significativas son : - Queda residente. - Lanza el IEXPLORE.EXE en 2º plano. - Nombre del fichero (.EXE o .SCR) y del valor, varia en cada infección (de 5, 6 ó 7 letras) - Su Código varia en cada infección. Colaca 8 bytes en posiciones concretas del EXE (posiblemente no importantes para su funcionamiento) - No deja detener el proceso activo. - Oculta ficheros del sistema. - Escrito en Visual Basic. En una sofisticada labor de nuestros técnicos, se está desarrollando una nueva utilidad ELIBVNA.EXE con la que determinará a qué subfamilia corresponde si es el caso, y lo eliminará, de lo cual nos congratulamos SI coincide con una de las caracteristicas indicadas, convendrá probar dicha nueva utilidad. saludos ms, 25-3-2010 NOTA: Y además se propaga a otras unidades extraibles como los pendrives, asi que conviene vacunar con el ELIPEN ELIPEN.EXE http://www.zonavirus.com/descargas/elipen.asp MS. |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|