Se trata de un troyano de la familia BUZUS que se ejecuta desde las carpetas de sistema\drivers\SYSDRV32.SYS y de windir\system\DLLCACHE.EXE , con atributos de oculto y de sistema, lo cual hace difícil su visión desde WINDOWS configurado por defecto.
Se autoejecutan en cada reinicio desde claves RUN y SafeBoot del registro, siendo esta última para que se cargue incluso arrancando en modo seguro.
Ademas crea en las unidades extraibles los siguientes ficheros para que se autopropaguen por pendrive:
X:\ Autorun.inf
X:\ strongkey-rc1.3-build-208.exe
tambien con atributos de oculto y de sistema.
siendo el .exe una copia del DLLCACHE.EXE malicioso, que el AUTORUN.INF lanza desde el siguiente script:
shellexecute=strongkey-rc1.3-
action=Open folder to view files
shell\default=Open
shell\default\command=
shell=default
Se recomienda vacunar ordenadores y pendrives con el ELIPEN y ya a partir del ELISTARA 18.60 ya se controla y elimina este troyano y se restauran las claves modificadas.
saludos
ms, 13-5-2009'
Fuente: zonavirus.com 13/05/09
NOTAS del Editor: zonavirus.com es una web patrocinada por SATINFO, mayorista del Antivirus MCAfee en España. Parece claro que el gusano de la Sanidad madrileña se ha propagado además de por la vía del lápiz -una de las posibles vías de la entrada inicial-, y en una proporción enormemente mayor, por la red de Windows. Muchas variantes previas de buzus (y otros virus/gusanos/malware), para propagarse por una red sin filtros, pueden utilizar el fallo de Windows descrito en el boletín de seguridad MS08-067 de Microsoft, de Octubre de 2008, en el que Microsoft proporciona un parche (para ese fallo).
La clave RUN que se menciona en la noticia que el virus utiliza para ejecutarse tras el inicio de un equipo infectado es HKLM\Software\Microsoft\Windows\CurrentVersion\Run ,
el valor (por ejemplo Netmon) que apunte a
Entradas relacionadas:
- [08/05/2009] Un nuevo virus informático se ha dejado hoy sentir en la informática sanitaria madrileña (entrada nuestra)
- [10/05/2009] Virus informático en la Sanidad Madrileña
- [12/05/2009] Un virus se cuela en los ordenadores de Sanidad (El País)
- [13/05/2009] Parece que el virus que esta atacando a la informática sanitaria madrileña es una variante de BUZUS (entrada nuestra)
Entradas
3 comentarios:
Muchas gracias, chicos, un simple regedit, eliminar esa rama del registro y reiniciar y el virus deja de ejecutarse en el ordenador (lo que se nota por ejemplo porque deja de abrir cientos de conexiones a puertos 445 remotos - se puede ver con netstat -na )
Si, pero asegurate de que tienes instalado en ese equipo el parche de MS06-087 porque si no, salvo que tengas algun cortafuegos o similar que lo evite, y dado que hay cientos (¿Miles?) de equipos infectados en la red de sanidad de madrid, al rato se te reinfectará
Es el parche de MS08-067 (y no de MS06-087 como puso el de antes)
Por otro lado, la version de fichero de firmas de Panda de 13/05/2009 ya detecta en muchos casos donde antes no lo hacía-por fin!- el fichero maligno C:\windows\system\dllcache.exe (como Trj/Downloader.MDW)
Esto hará que en la Consejería disminuya el número de equipos infectados o que un equipo con Panda pero sin el parche del fallo de Microsoft no se infecte (esperemos)
Publicar un comentario