Mensaje
por msc hotline sat » 23 Jun 2012, 08:40
Bien, y por cierto, creo que ayer se recibieron muestras suyas para analizar, las cuales no llegaron a tiempo de ser procesadas, pero sí que se comprobó si eran detectadas por el ELIFAKE, y el resultado fue positivo, asi que no se trata de una variante anormal, sino otra que sigue los cánones conocidos.
El lunes, cuando volvamos al trabajo en SATINFO, terminaremos su monitorización y si no fueran detectadas con el EXTRADAT de McAfee, se lo enviariamos a ellos para su control.
Es un mal bicho que aparte del incordio que causa, recuerde que está reportando información de sus ordenadores a servidores maliciosos de Rumania, Chequia, Eslovaquia, Alemania e incluso EE.UU., y mientras esté en proceso, va haciendo de las suyas, por ello nosotros lo aparcamos e impedimos que progrese, pero se debe aplicar a todos y cada uno de los ordenadores de la red, ya que, con uno solo infectado, infectan ejecutables y conierten los DOC de los servidores comparttidos y mapeados, incluidas cabinas de almacenamiento de datos, en SCR ejecutables infecciosos, aunque no lo parezcan dado que les aplican un icono similar al de Word y normalmente los usuarios no ven las extensiones de los ficheros, con lo cual no se dan cuenta que son .SCR ... (historias de windows !) Por ello aconsejamos configurarlo para que muestre las extensiones (en opciones de carpeta), asi se podrán ver y evitar casos como este, u otros como los ejecutables con icono de carpeta, que el usuario ejecuta cuando pretende entrar en la supuesta carpeta ...
Sepa que pueden haberlo pillado por ejecucion de un fichero EXE infectado que hayan recibido por email por ejemplo, aunque lo mas fácil es por un supuesto DOC recibido por cualquier medio, y que, por ingenieria social, lo hayan abierto para ver lo que decía (por ejemplo una oferta de empleo, una supuesta informacion confidencial de la empresa, una solicitud comercial, etc)
Si saben o creen saber como les entró, por favor, indiquenoslo para contrastar nuestra informacion al respecto.
Por cierto, que igual este virus tiene relación con el que creó el gobierno sirio, del que hablamos hace unos días en:
http://www.zonavirus.com/noticias/2012/descubren-un-virus-destinado-a-espiar-las-comunicaciones-de-los-rebeldes-sirios.asp
En fin, que si no se les paran los pies en esta escalada cibernética, lo que hemos visto hasta ahora puede ser solo la punta del iceberg...
http://www.zonavirus.com/noticias/2012/los-cientificos-advierten-una-ciberguerra-global-seria-igual-que-una-atomica.asp
Esperamos sus noticias sobre su caso, gracias
saludos
ms, 23-6-2012
NOTA: Y lo que nos dice de "Procedo a darle protección a los equipos que me quedan", confirma lo que pensabamos que no tenían controlados todos los equipos, y al respecto les recordamos que no solo deben instalar la protección con el ANTIFAKE, sino aparcar los infectados con el ELIFAKE, para que no quede ningun infeccioso activo, y además, que con el ELIFAKE ya se instala el ANTIFAKE. Este último es solo para proteger máquinas no infectadas o en las que ya se hubieran aparcado los infectados con un ELIFAKE antiguo, o que se hubiera ejecutado otra versión anterior de dichas utilidades, que hemos mejorado en funcion del sistema operativo instalado, ya que no es lo mismo en un W7 que en un XP. Asi que, ELIFAKE A TODOS !
ms.
msc hotline sat Virus Research Engineer