Equipo con ESET V5 – 32bits, detectando virus ELISIREF.
Algunas variantes del Sirefef se protegen contra su eliminación, de manera que en sistema WINDOWS 7 hace falta reiniciar finalmente en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA para que la utileria pueda erradicarlo.
Se sugiere copiar dicha utilidad ELISIREF.EXE en un pendrive (USB). DESCARGA
Recuerda que para obtener el menú donde escoger las opciónes de inicio, normalmente debe pulsarse F8 al arrancar, y selecconar la opción indicada.
Una vez en dicho MODO, insertar el pendrive donde se tenga copiado el ELISIREF.EXE, seleccionar dicha unidad, y lanzarla escribiendo:
ELISIREF <enter>
Con ello se terminará el proceso de este Rootkit, del que cada día tenemos actualmente nuevas variantes y que al actualizarse, bajan además otros congeneres, que vamos controlando con el ELISTARA (Proxy EXI, BUZUS, VBNA)
Cabe indicar que los ficheros SYS que escoge para utilizar el malware en su lugar, son los siguientes:
- netbt.sys
- mrxsmb.sys
- cdrom.sys
- afd.sys
- ipsec.sys
- beep.sys
- volsnap.sys
- rdpcdd.sys
- rasl2tp.sys
- redbook.sys
Son ficheros de microsoft, que están en la carpèta C:windowssystem32DRIVERS
Uno de ellos es escogido en cada infección de dicho RootKit, para esconder el malware, y mientras está activo en memoria, al copiarlo o mirar sus propiedades, veremos el de microsoft, pero realmente el que utiliza el sistema es el malware.
Ello forma parte de la complejidad de dicho engendro, que entre que utiliza la función junction para asignar ficheros a carpetas, ademas de utilizar tecnicas de rootkit y esconderse en una carpeta oculta del tipo de desinstalacion de parches, de los que todos tenemos muchas, y ademas usar estructura ADS dentro de la NTFS
NOTA, PRECAUCION:
Este bicho utiliza un driver aleatorio de windows, y al eliminar el virus se elimina el driver, el cual si no lo repone windows, debe reponerse manualmente.
La manera de solucionarlo es copiando dicho fichero de otro ordenador con el mismo sistema, a la carpeta DRIVERS, para lo cual puede ser necesario arrancar con otro medio, LIVE CD / BART PE o colocando el disco duro como esclavo en otro ordenador limpio, o lanzar una REPARACION DE SISTEMA, que sobreescribe todos los ficheros de windows (tras lo cual procede un windowsupdate para instalar los parches en dichos nuevos ficheros), pero de esto a formatear y empezar de cero…
Cada día tenemos nuevas variantes de este bicho, con nuevas historias, que vamos controlando a medida que vamos conociendo, y lo peor es que al actualizarse bajan ademas otras historias como BUZUS, VBNA, PROXY.EXI, SIMDA, etc, todos ellos relacionados con el SIREFEF y posiblemente alguno que aun no conocemos…
En algun caso, el driver que ha utilizado aleatoriamente el SIREFEF, se requiere en el inicio, y tras la limpieza, algun equipo no arranca, y debe reponerse dicho driver eliminado, para que vuelva a arrancar el equipo, para lo cual lo mas fácil y seguro es lanzar una REPARACION DE SISTEMA.