jueves, 14 de mayo de 2009

Nueva variante de troyano buzus que ha infectado la sanidad española

'Un nuevo troyano ha invadido el área informática de sanidad en España, principalmente en Madrid, siendonos reportados por clientes relacionados con ellos, los problemas consiguientes, que han dado lugar a nuestra investigación y solución del problema:

Se trata de un troyano de la familia BUZUS que se ejecuta desde las carpetas de sistema\drivers\SYSDRV32.SYS y de windir\system\DLLCACHE.EXE , con atributos de oculto y de sistema, lo cual hace difícil su visión desde WINDOWS configurado por defecto.

Se autoejecutan en cada reinicio desde claves RUN y SafeBoot del registro, siendo esta última para que se cargue incluso arrancando en modo seguro.

Ademas crea en las unidades extraibles los siguientes ficheros para que se autopropaguen por pendrive:

X:\ Autorun.inf
X:\ strongkey-rc1.3-build-208.exe

tambien con atributos de oculto y de sistema.

siendo el .exe una copia del DLLCACHE.EXE malicioso, que el AUTORUN.INF lanza desde el siguiente script:


shellexecute=strongkey-rc1.3-build-208.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey-rc1.3-build-208.exe
shell=default


Se recomienda vacunar ordenadores y pendrives con el ELIPEN y ya a partir del ELISTARA 18.60 ya se controla y elimina este troyano y se restauran las claves modificadas.

saludos

ms, 13-5-2009'

Fuente: zonavirus.com 13/05/09
NOTAS del Editor: zonavirus.com es una web patrocinada por SATINFO, mayorista del Antivirus MCAfee en España. Parece claro que el gusano de la Sanidad madrileña se ha propagado además de por la vía del lápiz -una de las posibles vías de la entrada inicial-, y en una proporción enormemente mayor, por la red de Windows. Muchas variantes previas de buzus (y otros virus/gusanos/malware), para propagarse por una red sin filtros, pueden utilizar el fallo de Windows descrito en el boletín de seguridad MS08-067 de Microsoft, de Octubre de 2008, en el que Microsoft proporciona un parche (para ese fallo).

La clave RUN que se menciona en la noticia que el virus utiliza para ejecutarse tras el inicio de un equipo infectado es HKLM\Software\Microsoft\Windows\CurrentVersion\Run ,
el valor (por ejemplo Netmon) que apunte a \System\dllcache.exe .


Entradas relacionadas:

3 comentarios:

Anónimo dijo...

Muchas gracias, chicos, un simple regedit, eliminar esa rama del registro y reiniciar y el virus deja de ejecutarse en el ordenador (lo que se nota por ejemplo porque deja de abrir cientos de conexiones a puertos 445 remotos - se puede ver con netstat -na )

Anónimo dijo...

Si, pero asegurate de que tienes instalado en ese equipo el parche de MS06-087 porque si no, salvo que tengas algun cortafuegos o similar que lo evite, y dado que hay cientos (¿Miles?) de equipos infectados en la red de sanidad de madrid, al rato se te reinfectará

Anónimo dijo...

Es el parche de MS08-067 (y no de MS06-087 como puso el de antes)

Por otro lado, la version de fichero de firmas de Panda de 13/05/2009 ya detecta en muchos casos donde antes no lo hacía-por fin!- el fichero maligno C:\windows\system\dllcache.exe (como Trj/Downloader.MDW)

Esto hará que en la Consejería disminuya el número de equipos infectados o que un equipo con Panda pero sin el parche del fallo de Microsoft no se infecte (esperemos)