• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Eliminar Rootkit.ZeroAccess - Sirefef (Mediashifting - Abnow)

    Guía de cómo eliminar el Rootkit.ZeroAccess - Sirefef (Mediashifting y Abnow) Nombre: Rootkit.Win32.ZAccess - Sirefef Tipo: Rootkit - Troyano, Botnet Alias: ZERO ACCESS, Rootkit.0Access, Rootkit.Zeroaccess, Rootkit.Win32.ZAccess, ZeroAccess.dr.gen.d, Rootkit.Win32.ZAccess!IK, Mal/ZAccess-C, Win32:Rootkit-gen, Win32/ZAccess.g, Backdoor.Win32.ZAccess, TrojanDropper:Win32/Sirefef.B, Win32/Sirefef.ER, Win32/Sirefef.DD, ...

          
    1. #1
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Investigación Eliminar Rootkit.ZeroAccess - Sirefef (Mediashifting - Abnow)

      Guía de cómo eliminar el Rootkit.ZeroAccess - Sirefef
      (Mediashifting y Abnow)

      Nombre: Rootkit.Win32.ZAccess - Sirefef
      Tipo: Rootkit - Troyano, Botnet
      Alias:ZERO ACCESS, Rootkit.0Access, Rootkit.Zeroaccess, Rootkit.Win32.ZAccess, ZeroAccess.dr.gen.d, Rootkit.Win32.ZAccess!IK, Mal/ZAccess-C, Win32:Rootkit-gen, Win32/ZAccess.g, Backdoor.Win32.ZAccess, TrojanDropper:Win32/Sirefef.B, Win32/Sirefef.ER, Win32/Sirefef.DD, TR/Sirefef.BV.2, Trojan-Dropper.Win32.PMax.a, Max++, TrojanDropper:Win32/Sirefef.A, Win32/Sirefef.A, Win32:Sirefef.r, Win32:Sirefef.ah, Win32/Sirefef.FB.Gen




      ZeroAccess o Sirefef, es un peligroso y malware del tipo Rootkit detectado por primera vez en el año 2009, pero en constante evolución al día de hoy con algunas variantes de gran propagación como: Mediashifting y Abnow.

      ZeroAccess reemplaza algunos archivos críticos que son parte del sistema operativo y algunos propios de la estructura del kernel para hacerlo invisible tanto al sistema operativo como al software de seguridad.

      Se han visto muestras de ZeroAccess disfrazadas de cracks o generadores de llaves (Keygens) para un gran número de aplicaciones, desde "Microsoft Office 2010" hasta descargadores de pornografía o juegos. Una vez que el usuario descarga y ejecuta el crack o parche infectado dentro de una aplicación comercial pirata, el ejecutable instala silenciosamente el rootkit ZeroAccess sobrescribiendo en una unidad aleatoriamente.




      ZeroAccess también realiza lo siguiente:

      • Convierte al equipo infectado en una "Botnet" en manos de su atacante.

      • Bloquea el uso de nuestro u otros Antivirus en el equipo infectado.

      • Descargar e instala "Falsos Antivirus" por ej de la flia: Cloud Security.

      • Puede generara errores varios en un sistema infectado con avisos como: "Error al comunicar con kernel"

      • Se auto regenera, actualiza y modifica solo de forma automática al estar conectado a sus centros de datos.

      • Reemplaza drivers importantes para el correcto funcionamiento del sistema.

      • Puede bloquear el acceso a información o determinados sitios de seguridad como InfoSpyware.com

      • Infecta un archivo aleatorio ejecutable localizado en la carpeta system32, el cual vuelve a infectar al sistema, en caso de que el rootkit se inactive.

      • Si bien esta bastante emparentado con el Rootkit TDSS... ZeroAccess busca cualquier rastro de TDSS en el equipo de la victima y lo elimina (elimina la competencia)

      • Secuestra las búsquedas de Google, redirigiendo siempre a sus sitios webs afiliados: Mediashifting, hoot y/o Abnow




      ZeroAccess es sin duda uno de los más avanzados rootkits en modo kernel que hay. Si bien no es tan poderoso como el de la familia rootkit TDL, sin embargo, pone en marcha una serie de características únicas que lo hacen muy peligroso y un vector potencial de otras infecciones al dejar los equipos infectados vulnerables.



    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Investigación ¿Cómo eliminar el rootkit ZeroAccess (Sirefef)?

      ¿Cómo eliminar el rootkit ZeroAccess (Sirefef)?


      Actualización al 21 de Agosto del 2012


      Herramientas necesarias:


      Proceso de números aleatorios del Rootkit ZAcess




      Pasos para la eliminación:

      1.- Imprima estas instrucciones ya que es necesario continuar con todos los programas y ventanas cerradas.



      2.- Ejecute el Antirootkit de Kaspersky: TDSSKiller

      • Descomprima el archivo TDSSKiller.zip. Ejecute (Doble Clic) TDSSKiller.exe Si usa Vista o Seven presione Clic derecho Ejecutar como administrador.
      • Presione el botón "Start scan" para comenzar el análisis. No utilice el ordenador durante el análisis.
      • Si el Rootkit Zero.Access es detectado, aplicarle "Cure" y luego presione Continue
      • Presionar en "Reboot now" para reiniciar el sistema y terminar con la desinfección de Zero.Access.




      3.- Instale el programa "Malwarebytes Anti-malware"

      • Haga clic en la ficha de 'Actualizar' y clic en el botón de "Buscar actualizaciones".
      • Una vez que el programa haya descargado e instalado las actualizaciones, seleccione en "Realizar un Análisis Rápido" y pulse el botón 'Analizar'
      • El Análisis puede tomar algún tiempo para terminar, así que por favor sea paciente.
      • Cuando el Análisis se haya completado, haga clic en 'Aceptar', a continuación, mostrar los resultados a ver los resultados.
      • Asegúrese de marcar todo lo detectado por MBAM, y haga clic en "Eliminar Seleccionados"


      En caso de detectar infecciones, MBAM le pedirá que es necesario reiniciar el sistema para completar la desinfección y reparación de las áreas afectadas del sistema, por lo que permita el reinicio para terminar.



      4.- Descargue y ejecute CCleaner para realizar una limpieza del registro de Windows, cookies, temporales y archivos innecesarios del sistema. Úselo de acuerdo a su manual.



      5.- Reinicie el equipo y compruebe los resultados.



    3. #3
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Re: Eliminar Rootkit.ZeroAccess - Sirefef (Mediashifting - Abnow)

      Cómo reparar Windows Update, Win Defender, Firewall después de ZA.?

      Las nuevas variantes del Rootkit ZeroAccess (Sirefef) aparecidas entre los meses de Junio, Julio y Agosto del 2012, incorporan la capacidad de infectar archivos multiplataforma (32bits y 64bits) en Windows

      Estas nuevas variables se inyectan modificando el archivo original de Windows: Services.exe - 'Service Control Manager (SCM)' con el cual una vez infectado no funcionaran algunas funciones como:

      • Windows Defender.
      • Firewall de Windows.
      • Microsoft Security Essentials.
      • Windows Update (error 80246008)



      Pasos para la reparación de Services.exe:

      1.- Compruebe que su equipo ya NO continua infectado por el rootkit ZeroAccess (Sirefef) siguiendo previamente los pasos del post anterior.



      2.-Descargue la herramienta de reparación de servicios de ESET llamada: ServicesRepair.exe (se encuentra al final de post)


      • Haz doble clic en el archivo ServicesRepair.exe.

      • Si aparecen notificaciones de seguridad, haga clic en Continue o Run y presione Yes cuando se le solicite para continuar.

      • Lea el acuerdo y luego haga clic en Yes para limpiar su sistema.






      3.- Reinicie su sistema y compruebe los resultados.
      Para el Windows Update: error 80246008, Microsoft ofrece otras soluciones incluida una herramienta de reparación automática en caso de que con ServicesRepair.exe no sea suficiente.

      Recuerde que si necesita ayuda personalizada, puede abrir un tema en el sector de "Virus y Spywares" del foro planteándonos su caso.









      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español






      Archivos Adjuntos Archivos Adjuntos
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.