Problema Trojan / Worm Cridex

Navega tus respuestas
2

Actualmente estamos recibiendo un aumento en las máquinas que están siendo atacadas con Cridex.

Recibimos varios correos electrónicos no deseados / infectados que usaron macros, creemos que implementamos un troyano de puerta trasera que permite que se tire a Cridex.

Esta es la ventana emergente que obtenemos de SEP: enlace

También después de instalar malwarebytes en algunos sistemas, recibiríamos una advertencia de que C: \ Windows \ explorer.exe intentaba acceder a sitios maliciosos.

Lo que es interesante es que podemos eliminar todas las instancias conocidas del virus, reiniciar la máquina, realizar un análisis completo y, a continuación, encontrar objetos iguales o diferentes.

Uno de los otros obstáculos importantes es que el virus se encuentra en varios sitios, sin embargo, encontramos poca coherencia con la forma en que funciona y con los troyanos / virus instalados en el sistema.

Se instalaron malwarebytes en la máquina de un usuario mientras se ejecutaba el análisis que continuamente se le pedía acerca de C: \ Windows \ explorer.exe que indicaba que estaba intentando acceder a un sitio web malicioso.

SEP también ha comenzado a reconocer el edg (número aleatorio.) exe como parte del problema, posiblemente el operador.

Actualmente pensamos que el archivo edg es un troyano que permite la entrada de cridex, etc. en el sistema. Sin embargo, parece que SEP está impidiendo que Cridex se active completamente, por lo que la pregunta es por qué SEP no está encontrando y deteniendo esto.

SEP dice que debería poder encontrar archivos en el registro, etc.:

enlace

Sin embargo, personalmente no he podido encontrarlos hasta ahora, pero las nuevas máquinas se han infectado aquí, por lo que tendremos un vistazo.

El problema que tenemos es que SEP no impidió que los correos electrónicos no deseados ejecutaran sus macros durante un día completo.

A veces, una combinación de SEP y Malwarebytes parece eliminar todos los archivos infectados, etc. Sin embargo, esto no siempre es así.

Hemos notado que Symantec ha actualizado recientemente su firma para Cridex, por lo que alguien tiene ideas o conocimientos sobre cómo abordar esto de manera efectiva.

Cualquier ayuda es muy apreciada.

ACTUALIZACIÓN: Hemos encontrado que Norton Power Removal Tool, parece hacer el truco, tienes que ejecutar la sesión de rootkit, pero parece que esto lo consigue

    
pregunta David Golding 06.11.2014 - 19:22
fuente

1 respuesta

1

La única solución realista es volver a crear imágenes de cualquier sistema que se sepa que está infectado. Usted querrá asegurarse de que la nueva imagen tenga todos los parches de Windows. También deberá examinar la configuración de intercambio de archivos en estos sistemas, ya que parece que este gusano también intentará propagarse a ellos.

    
respondido por el theterribletrivium 06.11.2014 - 21:41
fuente

Lea otras preguntas en las etiquetas

TrueCrypt Container oculto que contiene el paquete del navegador Tor ¿Cómo convierte IPsec KEYMAT en claves de encriptación y autenticación?