Noticias

Microsoft alerta sobre un troyano que sólo se elimina reinstalando Windows

Microsoft ha alertado a sus clientes sobre la nueva versión de un troyano que sólo puede eliminarse reinstalando Windows. El troyano es de una familia de antivirus fraudulentos que ha estado rondando en la red por meses, pero esta versión se aferra al sistema de su víctima con mucha más fuerza que las anteriores.

Chun Feng, un ingeniero del Centro de Protección de Malware de Microsoft (MMPC), alertó en el blog de Microsoft sobre la nueva variante del troyano, a la que Microsoft se refiere como Popureb.E, que ahora incluye un driver que lo activa durante el arranque del sistema y evita que se elimine el Master Boot Record y otros datos que permiten el funcionamiento del troyano.

El malware identifica el disco de inicio físico e infecta una operación llamada DriverStartIO. Una vez allí, el malware “encuentra las operaciones de escritura que intentan sobrescribir el MBR o los sectores del disco que contienen códigos maliciosos, y reemplaza la operación de escritura por una de lectura. La operación se llevará a cabo, pero los datos nunca se escribirán en el disco”, explicó Chung Feng. Esto significa que, si un programa antivirus intenta sobrescribir el MBR para eliminar el virus, no podrá hacerlo porque leerá el código en vez de sobrescribirlo.

Hasta ahora, la única solución que Microsoft ha encontrado al problema es reinstalar Windows. “Si el troyano Popureb-E infecta tu sistema, te aconsejamos que arregles el MBR y después utilices un disco de rescate para restaurar tu sistema a un estado previo a la infección (ya que muchas veces al restaurar un sistema no se restaura el MBR)”, dijo Chung Feng. “Para arreglar el MBR, te sugerimos que emplees la Consola de Recuperación de Sistemas, que tiene un comando llamado ‘fixmbr’”.

“La familia Popureb no es nueva, y hemos visto variantes de esta familia durante meses”, opinó Kochc, portavoz de la empresa de seguridad Symantec. “La mayoría de las variantes se detectan como Trojan.Fakeav, pero parece que esta modificación, que Microsoft llama “E”, es un poco más grave”, dijo Kochc. El experto también dijo que había pedido a Microsoft que le mandara muestras del troyano para realizar su propio análisis.

Fuentes:

Microsoft’s Answer to Vicious Malware? Reinstall Windows PC Magazine

MS advises drastic measures to fight hellish Trojan The Register

Microsoft Recommends Reinstalling Windows to Remove Nasty Rootkit Trojan eWeek

Microsoft alerta sobre un troyano que sólo se elimina reinstalando Windows

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada