Inicio de zonavirus, antivirus
SATINFO

Fichero causante del cambio de MBR en el DarkGalaxy

msc hotline sat
jueves, 10 de enero de 2019

A partir del ElistarA 40.44 de hoy pasamos a controlar el causante del estropicio en el MBR, instalandole uno con tecnicas Stealth que, salvo que se arranque "limpio" permanece ocultado a los antivirus, salvo por el ElistarA que detectaría anomalias en el MBR para que se analizara de nuevo con un arranque "limpio".



Su ubicación en el sistema e:



"%WinSys%\ max.exe"





La simple ejecución de dicho fichero causa la consabida infección del MBR con técnicas Stealth.



El preanalisis de virustotal de este fichero, ofrece el siguiente informe:



https://www.virustotal.com/es/file/e4efd1d6c7eaf477e83f38b2dca11515c6847fddd0b8ae1f89a334f2e3326df5/analysis/1547135911/





KASPERSKY, con muy buen criterio, lo denomina Kaspersky Trojan.Win32.DiskWriter.cej , apuntando a que es un "escritor de disco", como realmente es.





Ahora solo falta saber el downloader, dropper o lo que sea que lo haya instalado, como un simple fichero malicioso anexado a un mail, para evitarlo en lo posible.







saludos



ms, 10-1-2019

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2019 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto