Cabe indicar que los ficheros SYS que escoge para utilizar el malware en su lugar, son los siguientes:

• netbt.sys
• mrxsmb.sys
• cdrom.sys
• afd.sys
• ipsec.sys
• beep.sys
• volsnap.sys
• rdpcdd.sys
• rasl2tp.sys
• redbook.sys

Son ficheros de microsoft, que están en la carpèta C:windows system32 DRIVERS

Uno de ellos es escogido en cada infección de dicho RootKit, para esconder el malware, y mientras está activo en memoria, al copiarlo o mirar sus propiedades, veremos el de microsoft, pero realmente el que utiliza el sistema es el malware

Ello forma parte de la complejidad de dicho engendro, que entre que utiliza la función junction para asignar ficheros a carpetas, ademas de utilizar tecnicas de rootkit y esconderse en una carpeta oculta del tipo de desinstalacion de parches, de los que todos tenemos muchas, y ademas usar estructura ADS dentro de la NTFS

NOTA ACLARATORIA:
Este bicho utiliza un driver aleatorio de windows, y al eliminar el virus se elimina el driver, el cual si no lo repone windows, debe reponerse manualmente.

La manera de solucionarlo es copiando dicho fichero de otro ordenador con el mismo sistema, a la carpeta DRIVERS, para lo cual puede ser necesario arrancar con otro medio, LIVE CD / BART PE o colocando el disco duro como esclavo en otro ordenador limpio, o lanzar una REPARACION DE SISTEMA, que sobreescribe todos los ficheros de windows (tras lo cual procede un windowsupdate para instalar los parches en dichos nuevos ficheros), pero de esto a formatear y empezar de cero...

Cada día tenemos nuevas variantes de este bicho, con nuevas historias, que vamos controlando a medida que vamos conociendo, y lo peor es que al actualizarse bajan ademas otras historias como BUZUS, VBNA, PROXY.EXI, SIMDA, etc, todos ellos relacionados con el SIREFEF y posiblemente alguno que aun no conocemos...

En algun caso, el driver que ha utilizado aleatoriamente el SIREFEF, se requiere en el inicio, y tras la limpieza, algun equipo no arranca, y debe reponerse dicho driver eliminado, para que vuelva a arrancar el equipo, para lo cual lo mas fácil y seguro es lanzar una REPARACION DE SISTEMA.

Son muchas las variantes del StarPage, caracterizadas por la instalación de una pagina de inicio no deseada.

Para su eliminación, vamos acumulando en nuestras versiones del ELISTARA las rutinas de control de las muestras recibidas al respecto, y que son implementadas día a día para eliminar las nuevas variantes de este malware.

Consulte el Historial de revisiones del ElistarA

¿Como asegurar la efectividad del ElistarA y su descarga segura?

• Arranque su pc en modo seguro con funciones de red de forma que no incordien, ni el antivirus que se tenga instalado, ni muchos malwares, como los FAKE ALERT, que fastidian con sus ventanas emergentes, lo cual, si no están residentes, por haber arrancado EN MODO SEGURO, ya no será el caso,además que evitara que los virus se apoderen del sistema y su eliminación sea satisfactoria.
• Descargue la utilidad en su disco duro y ejecútela.

¿Como detecta el ElistarA los virus o malware?

El ElistarA usa los MD5 de los malwares, en lugar de las rutinas víricas, pero las técnicas usadas por nuestras utilidades, sin ser virus, puede que las utilicen algunos virus (es lógico, son igualmente programas de software), y algunos antivirus fallan al considerar infectado, por este u otro virus, las utilidades que usan ciertas rutinas, totalmente lícitas y no víricas, sin saber cuales son ni porque lo hacen, pero el caso es que dan un FALSO POSITIVO.

¿Que son los "falsos positivos"?

Un falso positivo es cuando un antivirus detecta erroneamente un software legitimo ser portador de un virus o malware . Las causas mas frecuentes son imitar tener un comportamiento similar a un virus, aplicaciones que se pueden utilizar con fines oscuros.

¿Como utilizar el ElistarA en Windows Vista o Windows 7?

• Descargue la utilidad en su disco duro.
• Boton derecho sobre la utilidad y seleccionar "Ejecutar como administrador"

¿Quien es SATINFO?

SATINFO S.L. es una empresa creada por técnicos informáticos que ya en 1988, y dedicándose al sector del hardware, tuvieron que desarrollar el primer antivirus español para controlar el primer virus para ordenadores personales compatibles (un virus de BOOT que hacía aparecer una pelotita en la pantalla, PING), tras lo cual se desarrollaron utilidades para controlar nuevos virus que fueron apareciendo (Viernes 13 ó Jerusalem, Stoned, etc.). Llegaron a un punto en que trabajaban en paralelo con John McAfee, de California, por lo que decidieron unir esfuerzos y trabajar en conjunto. De esta manera, SATINFO pasó a ser Agente en España de McAfee Associates.

Con el paso del tiempo y la llegada de internet, el número de los virus se ha multiplicado enormemente y McAfee se ha convertido en una empresa líder mundial en el sector, con una plantilla superior a los 3.800 empleados, presente en más de 60 países y con más de 80 millones de usuarios de sus productos en todo el mundo.

• Las actualizaciones se efectúan a las 19:00h, hora Española, los dias laborables.
• La licencia de uso, es de 10 dias desde que se sube a la web.

• Queda residente.
• Lanza el IEXPLORE.EXE en 2º plano.
• Nombre del fichero (.EXE o .SCR) y del valor, varia en cada infección (de 5, 6 ó 7 letras)
• Su Código varia en cada infección.
• oloca 8 bytes en posiciones concretas del EXE (posiblemente no importantes para su funcionamiento)
• No deja detener el proceso activo.
• Oculta ficheros del sistema.
• Escrito en Visual Basic.

Consulte mas detalles sobre el troyano en: worm polimorfico vbna que vamos a detectar y eliminar con una nueva utilidad elivbna.exe

Como temíamos va aumentando la familia en cuestión, por la dificultad de su detección, si bien con técnicas especificas contra el mismo hemos logrado detectarlo y eliminarlo con esta nueva utilidad, necesitando hacerla especialmente al no ser convencional su método.

Si se detecta alguna variante que haga lo mismo pero no sea de las controladas, enviarnosla para analizar y añadir su control y eliminación en la siguiente versión de la misma utilidad.

Utilidad que detecta, controla y elimina cuatro variantes de dicho virus que por usar nombres, valores de claves y datos aleatorios, asi como cídigo polimorfico mutante, ha hechop falta crear una utilidad específica para ellos.

¿Como utilizar el EliPalevo en Windows Vista o Windows 7?

• Descargue la utilidad en su disco duro.
• Boton derecho sobre la utilidad y seleccionar "Ejecutar como administrador"

¿Quien es SATINFO?

SATINFO S.L. es una empresa creada por técnicos informáticos que ya en 1988, y dedicándose al sector del hardware, tuvieron que desarrollar el primer antivirus español para controlar el primer virus para ordenadores personales compatibles (un virus de BOOT que hacía aparecer una pelotita en la pantalla, PING), tras lo cual se desarrollaron utilidades para controlar nuevos virus que fueron apareciendo (Viernes 13 ó Jerusalem, Stoned, etc.). Llegaron a un punto en que trabajaban en paralelo con John McAfee, de California, por lo que decidieron unir esfuerzos y trabajar en conjunto. De esta manera, SATINFO pasó a ser Agente en España de McAfee Associates.

Con el paso del tiempo y la llegada de internet, el número de los virus se ha multiplicado enormemente y McAfee se ha convertido en una empresa líder mundial en el sector, con una plantilla superior a los 3.800 empleados, presente en más de 60 países y con más de 80 millones de usuarios de sus productos en todo el mundo.

• Las actualizaciones se efectúan a las 19:00h, hora Española, los dias laborables.
• La licencia de uso, es de 10 dias desde que se sube a la web.

Las tres grandes familias de gusanos que entran por IP, bien por en agujero del RPCDCOM. a traves del NetBios 135, como el Blaster, bien por desbordamiento de buffer del LSASS, a través del TCPIP 445, como el Sasser, o bien por comparticiones, tipo BOT, como los SDBOT, pasan a ser controlados por una nueva utilidad que une las tres anteriores, ELIRPCA, ELILSA y ELISLUTA, resudiendolas a una sola a la que llamamos ELITRIIP, y que será la que será actualizada a partir de ahora, debiendose usar esta en lugar de cualquiera de las otras indicadas.

¿Como utilizar el EliTriip en Windows Vista o Windows 7?

• Descargue la utilidad en su disco duro.
• Boton derecho sobre la utilidad y seleccionar "Ejecutar como administrador"

¿Quien es SATINFO?

SATINFO S.L. es una empresa creada por técnicos informáticos que ya en 1988, y dedicándose al sector del hardware, tuvieron que desarrollar el primer antivirus español para controlar el primer virus para ordenadores personales compatibles (un virus de BOOT que hacía aparecer una pelotita en la pantalla, PING), tras lo cual se desarrollaron utilidades para controlar nuevos virus que fueron apareciendo (Viernes 13 ó Jerusalem, Stoned, etc.). Llegaron a un punto en que trabajaban en paralelo con John McAfee, de California, por lo que decidieron unir esfuerzos y trabajar en conjunto. De esta manera, SATINFO pasó a ser Agente en España de McAfee Associates.

Con el paso del tiempo y la llegada de internet, el número de los virus se ha multiplicado enormemente y McAfee se ha convertido en una empresa líder mundial en el sector, con una plantilla superior a los 3.800 empleados, presente en más de 60 países y con más de 80 millones de usuarios de sus productos en todo el mundo.

• Las actualizaciones se efectúan a las 19:00h, hora Española, los dias laborables.
• La licencia de uso, es de 10 dias desde que se sube a la web.

Es cuestion de ejecutar la utilidad y ver que logos visualiza, y en funcion de ello tener conocimiento de si el acceso a dichas webs es interceptado o no, y obrar en consecuencia...

Evidentemente si no se accede a ninguna de las tres, conviene revisar la conexion a Internet, pues podría ser que no se pudiera navegar.

Aparte, mueve el fichero gusano de dicho virus en cualquier unidad a la carpeta C:muestras y pide que se envie muestra para analizar. Si es el caso, luego enviarnos dicha muestra !!!

Tras ello, en la misma sesion instalar el parche y luego, arrancando en modo seguro, lanzar el Antivirus Actualizado que podrá eliminarlo.

Y no conectar al equipo otros ordenadpres infectados !!!, limpiarlos antes de hacerlo

Historial de revisiones

• ---v1.0--- (13 de Enero del 2009)
• ---v1.1--- (26 de Enero del 2009) (Elimina el servicio netsvcs)

Simplemente ejecutando TRANSFER pide un disco formateado y vacio en el que copiar una serie de ficheros ocultos y la utilidad RESTAURA, que es la que nos restablecerá dichos ficheros de arranque.

Lo que es necesario es que el sistema TRANSFER creado sea elmismo que el de la máquina afectada.

Se sugiere tener tres o cuatro disquetes, con TRANSFER de cada sistema operativo existente en sus máquinas, y etiquetado correspondientemente y protegido contra grabacion, para cuando hiciere falta disponer de él.

Se recuerda que para eliminar bichos de la carpeta SYSTEM VOLUME INFORMATION_RESTORE, es imprescindible deshabilitar la restauracion, debiendo habilitarla tras haner eliminado el bicho, para que pueda restablecerse el sistema en el futuro.

Historial de revisiones