• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Virut - "Cuidado con la pesadilla" indestructible !!!

    Virut: "Cuidado con la pesadilla" indestructible !!! Actualizado al año 2013 Desde 2006, Virut ha sido una de las amenazas más preocupantes activas en Internet. A finales de 2012 Symantec estima el tamaño de su ...

          
    1. #1
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.920

      Malware Virut - "Cuidado con la pesadilla" indestructible !!!

      Virut: "Cuidado con la pesadilla" indestructible !!!

      Actualizado al año 2013

      Desde 2006, Virut ha sido una de las amenazas más preocupantes activas en Internet. A finales de 2012 Symantec estima el tamaño de su botnet a 300.000 máquinas, mientras que Kaspersky informó que Virut fue responsable de 5,5% de las infecciones en Q3 2012, convirtiéndose en la quinta amenaza más extendida de la época.

      Win32/Virut se trata de un botnet malware que se encuentra dentro de la peligrosa categoría de "Malware Polimórfico" o "Buggy Virus". de código encriptado, que infecta todos los archivos .EXE y .SCR de Windows y del PC.


      ¿Qué hace Virut?

      Una vez infectado, el ordenador se conecta a un servidor IRC controlado por el atacante y recibir instrucciones para descargar y ejecutar archivos ejecutables arbitrarios (todo sin el conocimiento o consentimiento del propietario). Virut ha convertido en zombis esas máquinas que podra utilizar en su botnet para enviar spam, ataques DDoS y otras actividades maliciosas. De acuerdo con Symantec, Virut se ha utilizado recientemente para la distribución de Waledac - un robot de spam reconocido desde hace mucho tiempo.

      En otras palabras Virut es un infectador de archivos polimórfico que al ejecutarse en nuestro sistema se encargara de infectar todos nuestros archivos .EXE y .SCR haciendo de esta manera casi imposible de desinfectar nuestro sistema automáticamente si no agarramos la infección a tiempo ya que incluso puede infectar los nuevos programas AVs que instalemos para su limpieza.

      kaspersky found 5736 infected files
      Virus.Win32.Virut.q is the virus which is infecting 95% of the files

      Solución a Virut

      La solución más efectiva que hay hasta el momento es directamente el Formateo, si él Formateo y la reinstalación de todos el sistema nuevamente (pero no desde un backup ya que también podría estar infectado)

      Por suerte este no afecta los archivos del tipo:

      • .JPG
      • .GIF
      • .BMP
      • .TXT
      • .MP3
      • .DOC


      Por lo que la mejor recomendación que podemos hacerle es que salve sus fotos, música y documentos más importantes y que le haga un formateo completo a su PC.


      ¿Cómo se propaga?

      La mayoría de los usuarios puede infectarse por el uso de medios extraíbles (memorias USBs) o compartir archivos a través de redes P2P. Sin embargo, las versiones más recientes del malware han sido capaces de infectar archivos HTML, inyectar un iframe invisible que Virut descarga desde un sitio remoto.



      Conclusión: Virut = Formateo.



      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.920

      Re: Virut - "Cuidado con la pesadilla" indestructible !!!

      Desde hace unas semanas que me he dispuesto a probar cuatro variantes de Virut en un mismo sistema con solo Windows y Nod32 como Antivirus residente con el agregado de otros Antivirus para su posterior escaneo.

      Como ya había adelantado hasta el momento la mayoría de los Antivirus tradicionales pueden detectar y prevenir la mayoría de las infecciones de las distintas variantes reportadas de Virut (pero no desinfectarlas)


      Al igual que la mayoría de los malwares, Virut tiene muchas variantes que trabajan de manera similar pero con diferente arquitectura para hacer mas difícil su detección y eliminación.

      Por otro lado tenemos el problema que las casas Antivirus tienen la mala costumbre de todos nombrar al mismo malware con diferente nombre y esto hace mas complicado saber exactamente el nombre de la variante y las diferencias de uno entre otro.

      En este caso me dispuse a probar 3 variantes de Virut.

      • Win32.Virut.5
      • Win32.Virut.as
      • Win32.Virut.0
      • Win32.Virut.ar




      Win32.Virut.5

      • Fue detectado y prevenida la infección con varios Antivirus.
      • Kaspersky llego a borrar lo principal de este malware para que no siga infectando, pero no puedo reparar los archivos modificados.
      • Dr.Web CureIt! fue el único que pudo detectar, borrar los archivos infectados y reparar los archivos modificados por el malware en su totalidad


      En este caso el Win32.Virut.5 insertaba cadenas con un algoritmo de ceros en cada archivo .exe y .scr que lograba infectar.

      En este caso esta variante tampoco toca los archivos .EXE que se encuentren dentro de las carpetas Windows y System32, algo que ya si hace en sus otras variantes.




      Win32.Virut.as

      • Fue detectado y prevenida la infección con varios Antivirus.
      • Kaspersky llego a borrar lo principal de este malware para que no siga infectando, pero no puedo reparar los archivos modificados.
      • Dr.Web CureIt! fue el único que pudo detectar, borrar los archivos infectados, pero en este caso no puedo reparar los archivos modificados.


      En este caso el Win32.Virut.as insertaba codigo HTML en cada archivo .exe y .scr que lograba infectar.





      Win32.Virut.0 y Win32.Virut.ar

      • Fueron detectados y prevenida la infección con varios Antivirus.
      • Kaspersky se infecto al estar instalado y al intentar instalar una nueva copia. Tampoco pudo borrar la infección.
      • Dr.Web CureIt! fue infectado al instalarse en este sistema y tampoco pudo borrar ni reparar los archivos.





      Conclusión:

      Como pasa con la mayoría de los malwares dependerá de la variante que nos haya infectado para ver hasta donde y con que se podría llegar a limpiar mas el sistema.

      En todos los casos los sistemas nunca quedaron al 100% operativos mas allá que en algunos casos se pudo limpiar la infección, el sistema quedo con algún que otro error en los programas.

      Por ese motivo es que la mejor recomendación que sigo dando ante los casos de infecciones con Virut es el formateo y reinstalación de los programas salvando antes documentos, música, fotos y otros archivos personales que no sean extensiones .exe ni scr.

      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.920

      Re: Virut - "Cuidado con la pesadilla" indestructible !!!

      La botnet Virut ha estado activo desde al menos 2006.

      El 17 de enero de 2013, la organización de investigación y desarrollo polaco NASK, tomó varios de los dominios utilizados por Virut para intentar apagarlo debido a la grave amenaza que el Virut botnet plantea a Internet.

      Es probable Virut no se apague por completo, ya que algunos de sus servidores de control se encuentran en Rusia " . ru "registradores de nombres de dominio de nivel superior fuera del alcance de la NASK polaco.

      Además, la botnet es capaz de buscar respaldo alternativo anfitriones, lo que permite a los criminales que operan a restablecer el control sobre la red.




      Conclusión: Virut = Formateo.

      Salu2
      Última edición por @MarceloRivero fecha: 03/09/13 a las 20:13:42 Razón: Actualización de Virut.
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.