IMPORTANTE DESCUBRIMIENTO QUE AFECTA A LOS USUARIOS QUE HAN TENIDO (O TIENEN) EL PROXY EXI Antes Publicado: Vie Ene 13, 2012 12:12 pm

---

DEBIDO A HABER QUEDADO INACCESIBLE EN SU POST ORIGINAL, TRAS HABER SIDO LEIDO POR 77 USUARIOS, Y DADO LO IMPORTANTE QUE CONSIDERAMOS DICHA NOTICIA, ANULAMOS LA ORIGINAL Y LA REPUBLICAMOS DE NUEVO, EN LA SEGURIDAD DE QUE SERÁ DE INTERES PARA MUCHOS USUARIOS. - ms, 15-01-2012





A raiz del analisis indicado en http://www.zonavirus.com/noticias/2012/nueva-variante-nls-del-simda-de-los-que-ocultan-el-contenido-real-del-acpisys-con-backdoor-simda.asp , hemos descubierto que muchos de los ordenadores que han tenido el PROXY EXI, tienen el BACKDOOR SIMDA, muy oculto por la actuacion de un temporal (que se elimina sin dificultad con el ELISTARA si el usuario acepta eliminar temporales) y de un fichero de nombre variable para cada ordenador, del tipo c_726519.nls, de los que todos tenemos varios conteniendo los códigos de lenguaje, sin que en este caso tenga nada que ver, solo la apariencia por el nombre del fichero. Dichos ficheros están ubicados en la carpeta de sistema, normalmente, en los sistemas actuales, en C:\windows\system32\



Ya habíamos visto que el BACKDOOR SIMDA está ubicado en el fichero ACPI.SYS, de igual nombre que el driver de windows, que está en C:\windows\system32\drivers , pero cuando está activo el NLS en cuestion, al querer ver dicho ACPY.SYS lo que muestra es el del original del sistema, ocultando el BACKDOOR SIMDA que contiene.



Solo arrancando con otro medio, como un LIVE CD. BAR PE o colocando el disco duro como esclavo, se descubrirá dicho backdoor en el ACPI.SYS y podrá eliminarse.



Avisamos de ello para que quienes han tenido infección con dicho PROXY EXI, aunque ya lo hayan eliminado, revisen el ordenador en cuestión, ante la posibilidad de aun tener un BACKDOOR SIMDA residente, si bien para ello habrán de arrancar con otro medio y lanzar bien el ELISTARA actual, que detectará y eliminará el ACPI.SYS si está infectado, tras lo que debe comprobarse que windows lo reponga del DLLCACHE (es el driver de control de energía), y si no lo ha hecho, mejor copiarlo de otro sistema igual, en la carpeta de drivers, especialmente si se trata de un portátil.



Como colofón cabe indicar que el PROXY EXI y consecuenctemente este BACKDOOR SIMDA es descargado por los mismos servidores maliciosos que descargan el SIREFEF, por lo que pudiera estar hecho por el mismo grupo de hackers. No se ha visto en los SIREFEF sin el PROXY EXI, dicho BACKDOOR SIMDA, pero si en los que hemos detectado los dos, pero lo atribuimos a que ha sido por el PROXY EXI, aunque no se puede ratificar, claro.



El ACPI.SYS ya está muy controlado, pero escondido por el NLS, por lo que aunque muchos AV lo controlan, no siempre estos lo detectarán en condiciones normales:



El preanalisis del ACPI.SYS infectado con BACKDOOR SIMDA, subido al virustotal, ofrece este informe:







Nombre Fichero : ACPI.SYS



SHA256: a340dae9c672da41c73324c6f9fdf643cdbd92a0fd3594f26b6c1bc7040e1294

SHA1: ce55c4cb733f088958ce74d23ea8b671f7a99389

MD5: c6811f0f6a149516ba6fb048566bfc91

File size: 184.6 KB ( 189056 bytes )

File type: Win32 EXE

Detection ratio: 27 / 43

Analysis date: 2012-01-13 10:15:09 UTC ( 1 minute ago )



00

Antivirus Result Version Update

AhnLab-V3 - 2012.01.12.02 20120112

AntiVir TR/Rootkit.Gen2 7.11.21.9 20120113

Antiy-AVL - 2.0.3.7 20120113

Avast Win32:RLoader-B 6.0.1289.0 20120112

AVG Agent3.WJV 10.0.0.1190 20120113

BitDefender Trojan.Generic.6377555 7.2 20120113

ByteHero - 1.0.0.1 20120111

CAT-QuickHeal Trojan.DNSChanger 12.00 20120113

ClamAV - 0.97.3.0 20120113

Commtouch - 5.3.2.6 20120113

Comodo UnclassifiedMalware 11254 20120113

DrWeb Trojan.Rodricter.1 5.0.2.03300 20120113

Emsisoft Virus.Win32.RLoader!IK 5.1.0.11 20120113

eSafe Win32.TRRootkit 7.0.17.0 20120111

eTrust-Vet - 37.0.9679 20120113

F-Prot - 4.6.5.141 20120112

F-Secure Trojan.Generic.6377555 9.0.16440.0 20120113

Fortinet W32/RLoader.A 4.3.388.0 20120113

GData Trojan.Generic.6377555 22 20120113

Ikarus Virus.Win32.RLoader T3.1.1.113.0 20120113

Jiangmin Win32/RootkitReLoader.a 13.0.900 20120112

K7AntiVirus Trojan 9.125.5916 20120111

Kaspersky Virus.Win32.RLoader.a 9.0.0.837 20120113

McAfee Artemis!C6811F0F6A14 5.400.0.1158 20120113

McAfee-GW-Edition Artemis!C6811F0F6A14 2010.1E 20120113

Microsoft Trojan:WinNT/Simda.gen!A 1.7903 20120113

NOD32 Win32/Agent.SUC.Gen 6791 20120113

Norman W32/Suspicious_Gen2.SHSOU 6.07.13 20120112

nProtect Gen:Variant.Buzy.3764 2012-01-12.01 20120113

Panda Trj/CI.A 10.0.3.5 20120112

PCTools Trojan.Gen 8.0.0.5 20120113

Prevx - 3.0 20120113

Rising - 23.92.04.02 20120113

Sophos - 4.73.0 20120113

SUPERAntiSpyware - 4.40.0.1006 20120113

Symantec Trojan.Gen 20111.2.0.82 20120113

TheHacker Trojan/DNSChanger.wxu 6.7.0.1.375 20120110

TrendMicro - 9.500.0.1008 20120113

TrendMicro-HouseCall - 9.500.0.1008 20120113

VBA32 - 3.12.16.4 20120112

VIPRE Trojan.Win32.Generic!BT 11390 20120113

ViRobot - 2012.1.13.4879 20120113

VirusBuster - 14.1.164.0 20120112



Por tanto, como sea que aun algunos importantes antivirus no lo controlan (como AVG, Sophos, TrendMicro, etc), sugerimos que se arranque conforme indicamos y se escanee con el ELISTARA >24.64, que lo detecta y elimina.



saludos



ms, 13-1-2012