{"id":51,"date":"2012-07-03T15:38:09","date_gmt":"2012-07-03T21:38:09","guid":{"rendered":"http:\/\/solucion-es.com\/?p=51"},"modified":"2012-07-03T15:38:09","modified_gmt":"2012-07-03T21:38:09","slug":"info-elisiref-rootkit","status":"publish","type":"post","link":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/2012\/07\/03\/info-elisiref-rootkit\/","title":{"rendered":"Info ELISIREF (rootkit)"},"content":{"rendered":"<p><strong>Equipo con ESET V5 &#8211; 32bits, detectando virus ELISIREF.<\/strong><\/p>\n<p>Algunas variantes del Sirefef se protegen contra su eliminaci\u00f3n, de manera que en sistema <em><strong>WINDOWS 7<\/strong><\/em> hace falta reiniciar finalmente en <strong>MODO SEGURO CON SOLO SIMBOLO DE SISTEMA<\/strong> para que la utileria pueda erradicarlo.<\/p>\n<p>Se sugiere copiar dicha utilidad ELISIREF.EXE en un pendrive (USB). <a title=\"DESCARGA ELISIREF\" href=\"http:\/\/www.zonavirus.com\/descargas\/descargar-elisiref.asp\"><strong>DESCARGA<\/strong><\/a><\/p>\n<p>Recuerda que para obtener el men\u00fa donde escoger las opci\u00f3nes de inicio, normalmente debe pulsarse F8 al arrancar, y selecconar la opci\u00f3n indicada.<\/p>\n<p>Una vez en dicho MODO, insertar el pendrive donde se tenga copiado el ELISIREF.EXE, seleccionar dicha unidad, y lanzarla escribiendo:<\/p>\n<p>ELISIREF\u00a0\u00a0 &lt;enter&gt;<\/p>\n<p>Con ello se terminar\u00e1 el proceso de este Rootkit, del que cada d\u00eda tenemos actualmente nuevas variantes y que al actualizarse, bajan adem\u00e1s otros congeneres, que vamos controlando con el ELISTARA (Proxy EXI, BUZUS, VBNA)<\/p>\n<p>&nbsp;<br \/>\nCabe indicar que los ficheros SYS que escoge para utilizar el malware en su lugar, son los siguientes:<\/p>\n<ul>\n<li>netbt.sys<\/li>\n<li>mrxsmb.sys<\/li>\n<li>cdrom.sys<\/li>\n<li>afd.sys<\/li>\n<li>ipsec.sys<\/li>\n<li>beep.sys<\/li>\n<li>volsnap.sys<\/li>\n<li>rdpcdd.sys<\/li>\n<li>rasl2tp.sys<\/li>\n<li>redbook.sys<\/li>\n<\/ul>\n<p>Son ficheros de microsoft, que est\u00e1n en la carp\u00e8ta C:windowssystem32DRIVERS<\/p>\n<p>Uno de ellos es escogido en cada infecci\u00f3n de dicho RootKit, para esconder el malware, y mientras est\u00e1 activo en memoria, al copiarlo o mirar sus propiedades, veremos el de microsoft, pero realmente el que utiliza el sistema es el malware.<\/p>\n<p>Ello forma parte de la complejidad de dicho engendro, que entre que utiliza la funci\u00f3n junction para asignar ficheros a carpetas, ademas de utilizar tecnicas de rootkit y esconderse en una carpeta oculta del tipo de desinstalacion de parches, de los que todos tenemos muchas, y ademas usar estructura ADS dentro de la NTFS<\/p>\n<p><strong>NOTA, PRECAUCION:<\/strong><br \/>\nEste <em>bicho<\/em> utiliza un driver aleatorio de windows, y al eliminar el virus se elimina el driver, el cual si no lo repone windows, debe reponerse manualmente.<\/p>\n<p>La manera de solucionarlo es copiando dicho fichero de otro ordenador con el mismo sistema, a la carpeta DRIVERS, para lo cual puede ser necesario arrancar con otro medio, <strong>LIVE CD<\/strong> \/ <strong>BART PE<\/strong> o colocando el disco duro como esclavo en otro ordenador limpio, o lanzar una <strong>REPARACION DE SISTEMA<\/strong>, que sobreescribe todos los ficheros de windows (tras lo cual procede un windowsupdate para instalar los parches en dichos nuevos ficheros), pero de esto a formatear y empezar de cero&#8230;<\/p>\n<p>Cada d\u00eda tenemos nuevas variantes de este bicho, con nuevas historias, que vamos controlando a medida que vamos conociendo, y lo peor es que al actualizarse bajan ademas otras historias como BUZUS, VBNA, PROXY.EXI, SIMDA, etc, todos ellos relacionados con el SIREFEF y posiblemente alguno que aun no conocemos&#8230;<\/p>\n<p>En algun caso, el driver que ha utilizado aleatoriamente el SIREFEF, se requiere en el inicio, y tras la limpieza, algun equipo no arranca, y debe reponerse dicho driver eliminado, para que vuelva a arrancar el equipo, para lo cual lo mas f\u00e1cil y seguro es lanzar una REPARACION DE SISTEMA.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Equipo con ESET V5 &#8211; 32bits, detectando virus ELISIREF. Algunas variantes del Sirefef se protegen contra su eliminaci\u00f3n, de manera que en sistema WINDOWS 7 hace falta reiniciar finalmente en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA para que la utileria pueda erradicarlo. Se sugiere copiar dicha utilidad ELISIREF.EXE en un pendrive (USB). DESCARGA Recuerda<a href=\"https:\/\/solucionarte.mx\/solucion-es\/sitio\/2012\/07\/03\/info-elisiref-rootkit\/\">[&#8230;]<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[12,16,17,18],"class_list":["post-51","post","type-post","status-publish","format-standard","hentry","category-soporte","tag-ayuda","tag-soporte","tag-tutorial","tag-virus"],"_links":{"self":[{"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/posts\/51","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/comments?post=51"}],"version-history":[{"count":0,"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/posts\/51\/revisions"}],"wp:attachment":[{"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/media?parent=51"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/categories?post=51"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/solucionarte.mx\/solucion-es\/sitio\/wp-json\/wp\/v2\/tags?post=51"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}