He
recibido varias alertas con respecto a un nuevo malware o virus que se
ha desatado en la industria de energia. Se trata del Shamoon o
W32/DistTrack el tiene un comportamiento destructivo, dejando las
computadores infectadas totalmente inservibles.
El
foco de infección de este malware es el "Master Boot Record" y las
tablas de particiones, las cuales son alteradas con data basura
provocando que la data original no pueda ser recuperada.
Método de infección:
Aunque todavía no se ha determinado el método exacto de infección se entiende que el mismo se hace a través de las rutas administrativas compartidas en Windows (Admin$).
1- Deposita el archivo "trksrv.exe" en la carpeta de Windows %SystemRoot%\System32 y se instala como un servicio.
2- Instala otros archivos en la misma carpeta con otros nombres reconocidos: netinit.exe, drdisk.sys, caclsrv.exe, ctrl.exe, power.exe, sigver.exe, sacses.exe, etc.
3- El archivo netinit.exe es el encargado de notificar la infección cada 5 minutos al atacante.
Para conocer mas detalles del virus puede acceder aqui. Para ver el reporte detallado de W32/DistTrack disponible por McAfee siga este enlace.
Tweet
No hay comentarios:
Publicar un comentario
Si tienes algún aporte, duda o comentario sobre este post dínoslo en los comentarios.