Menú de contenidos Cerrar

Noticias

Microsoft alerta sobre un troyano que sólo se elimina reinstalando Windows

Noticias

lectura de un minuto

Autores

Microsoft ha alertado a sus clientes sobre la nueva versión de un troyano que sólo puede eliminarse reinstalando Windows. El troyano es de una familia de antivirus fraudulentos que ha estado rondando en la red por meses, pero esta versión se aferra al sistema de su víctima con mucha más fuerza que las anteriores.

Chun Feng, un ingeniero del Centro de Protección de Malware de Microsoft (MMPC), alertó en el blog de Microsoft sobre la nueva variante del troyano, a la que Microsoft se refiere como Popureb.E, que ahora incluye un driver que lo activa durante el arranque del sistema y evita que se elimine el Master Boot Record y otros datos que permiten el funcionamiento del troyano.

El malware identifica el disco de inicio físico e infecta una operación llamada DriverStartIO. Una vez allí, el malware “encuentra las operaciones de escritura que intentan sobrescribir el MBR o los sectores del disco que contienen códigos maliciosos, y reemplaza la operación de escritura por una de lectura. La operación se llevará a cabo, pero los datos nunca se escribirán en el disco”, explicó Chung Feng. Esto significa que, si un programa antivirus intenta sobrescribir el MBR para eliminar el virus, no podrá hacerlo porque leerá el código en vez de sobrescribirlo.

Hasta ahora, la única solución que Microsoft ha encontrado al problema es reinstalar Windows. “Si el troyano Popureb-E infecta tu sistema, te aconsejamos que arregles el MBR y después utilices un disco de rescate para restaurar tu sistema a un estado previo a la infección (ya que muchas veces al restaurar un sistema no se restaura el MBR)”, dijo Chung Feng. “Para arreglar el MBR, te sugerimos que emplees la Consola de Recuperación de Sistemas, que tiene un comando llamado ‘fixmbr’”.

“La familia Popureb no es nueva, y hemos visto variantes de esta familia durante meses”, opinó Kochc, portavoz de la empresa de seguridad Symantec. “La mayoría de las variantes se detectan como Trojan.Fakeav, pero parece que esta modificación, que Microsoft llama “E”, es un poco más grave”, dijo Kochc. El experto también dijo que había pedido a Microsoft que le mandara muestras del troyano para realizar su propio análisis.

Fuentes:

Microsoft’s Answer to Vicious Malware? Reinstall Windows PC Magazine

MS advises drastic measures to fight hellish Trojan The Register

Microsoft Recommends Reinstalling Windows to Remove Nasty Rootkit Trojan eWeek

Autores

Microsoft alerta sobre un troyano que sólo se elimina reinstalando Windows

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Dark Tequila Añejo

    Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada