Inicio de zonavirus, antivirus
SATINFO

NUEVO ROOTKIT "DARK GALAXY" QUE AFECTA AL MBR CON TECNICAS STEALTH

msc hotline sat
miércoles, 09 de enero de 2019

Un nuevo virus que se instala en el sector del MBR (0,0,1 del disco duro) y que sigue en los sectores del 0,0,3 al 0,0,55, y posiblemente añadiendo algo mas en el landing zone, dejando el MBR original en el 0,0,2 , nos ha aparecido en las máquinas de análisis de muestras sospechosas, pasando a controlarlo con el mismo nombre que lo identifica Kaspersky, si se arranca "limpio", Trojan.Boot.DarkGalaxy.a



El caso es que solo se ve dicha modificación si se arranca con un disco de arranque de Windows o un Pilitos, pero no si se arranca normalmente con el MBR infectado, propio de que está utilizando técnicas stealth, ya que mientras esta residente muestra el MBR anterior a la infección.



El preanalisis de virustotal sobre el MBR infectado, arrancando con disco de arranque de Windows o Pilitos (no con el MBR infectado) ofrece el siguiente informe:



https://www.virustotal.com/es/file/978494c36606ca427c70e6bbda7beca9b3dd5b8b45498628125266037a7d82e0/analysis/1546821304/



Tambien el ElistarA actual detecta dicho rootkit indicando que se ha detectado un malware con tecnicas stealth en el MBR y si se arranca "limpio" indicará que es el DARK GALAXY , en cuyo caso se deberá copiar el sector 0,0,2 sobre el sector 0,0,1 , con lo que se restaurará la normalidad.



Detrás de dicho arranque malicioso puede esperarse cualquier historia, asi que lo primero es quitarse se encima dicho MBR indeseable!



saludos



ms, 9-1-2019

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2019 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto