epelpad

El post que buscas se encuentra eliminado, pero este también te puede interesar

Nuevo Whistler Bootkit (Rootkit) + [Tuto de Eliminacion]

Whistler Bootkit es una amenaza que circula por la red de este nuevo estilo de código malicioso Rootkit/Bootkit, del cual hemos estado recibiendo varios casos en el foro en las ultimas semanas, con síntomas que parecieran más bien de una película de terror cuando el equipo comienza a reproducir música solo o de golpe se nos baja el volumen, que de una infección por un malwares.

Si bien tanto los Rootkits como los Bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte del ocultamiento acciones más complejas.

Whistler Bootkit es también conocido como “Black Internet” y ataca a todas las versiones de Windows desde 2000 hasta la reciente Server 2008 y Windows 7 (32 y 64bits), sumando funciones más complejas como la capacidad de infectar el “Master Boot Record”. Una vez que el equipo es infectado por esté, queda a total disposición de su atacante pudiéndolo convertirse en parte de una Botnet, entre otras cosas…

Al activarse desde la MBR (Master Boot Record), el bootkit se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los bootkits no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel)

Whistler no es el primero de su clase ya que el primero fue presentado por Peter Kleissner en la BlackHat 2009 y llamado “Stoned Bootkit” (basado en el famoso virus Stoned), pero si es el último de este estilo en sumarse a sus primos MBR Rootkit/ Mebroot y TDSS/TDL3.

Las compañías antivirus suelen catalogarlos como peligrosos o extremadamente peligrosos, por lo escurridizos y difíciles de eliminar que suelen ser, por lo que seguramente veamos cada vez más y más nuevos ejemplares del estilo Bootkits/Rootkits en un futuro no muy lejano…

Síntomas visible en una infección de “Whistler Bootkit”:

===> Se baja solo el volumen del PC.
===> Se baja solo la barra de “Onda” (Wave) del sonido.
===> Se activan varios iexplorer.exe consumiendo recursos.
===> Se nos abren ventanas de publicidad (popups) continuamente.
===> El equipo comienza a reproducir Música sólo y sin nuestro consentimiento.

Por lo que si su equipo sufre de algunos de estos síntomas, le recomendamos pasarse por la guía de detección y eliminación de Whistler Bootkit que tenemos publicada en nuestro foro, mediante el uso de herramientas particulares como MBRCheck.


Nuevo Whistler Bootkit (Rootkit) + [Tuto de Eliminacion]


Comprobar infeccion del Bootkit


Nombre: Whistler Bootkit
Tipo: Malware con funciones de Rootkit
Alias: Whistler Bootkit, Black Internet, MaosBoot, Stoned Bootkit, MBR Rootkit TrojanDownloader:Win32/Unruy.D (Microsoft), Win32:Unruy-G (avast), Trojan.Siggen1.30114 (DrWeb), Crypt.VUB (AVG), Win32/TrojanDownloader.Unruy (Nod32), TR/Vilsel.aejm (AntiVir), Trojan-Clicker.Win32.Cycler (Kaspersky)

Herramientas necesarias:

Descargar: MBRCheck.exe v 1.2.3 (Actualizado 03/08/2010)


MBR limpio de infección.

- Descargue el archivo MBRCheck.exe a su Escritorio..

1. Haga doble clic en MBRCheck.exe (o clic derecho y seleccione "Ejecutar como administrador".
2. Windows abrirá una advertencia de Seguridad. Hacer clic en "Ejecutar".
3. Si NO hay infección se mostrara el tipo de MBR o "Unknow MBR code"
4. Presione "N" para salir del programa y abra un nuevo tema en el foro si necesita más ayuda a limpiar su equipo.


Antivirus


MBR infectado por Bootkit

* En caso de SI detectarse una infección se mostrara: Known-bad MBR code detected (Whistler / Black Internet)!

Spyware


Cómo eliminar Whistler Bootkit


Siga estos pasos unicamente si se detecto la presencia de Whistler Bootkit en su sistema.

Herramientas necesarias:

MBRCheck.exe

CCleaner Descargar http://www.piriform.com/ccleaner/download

MalwareBytes Antimalware Descargar, post de LopioL

Eliminando Whistler Bootkit:

1. Ejecute nuevamente MBRCheck.exe como le fue indicado anteriormente.

2. Al ver: "Enter 'Y' and hit ENTER for more options, or 'N' to exit" pulse 'Y'y luego "Enter"

3. MBRCheck desplegará tres opciones:

Dump de MBR of a physical disk to file
Restore de MBR or a physical disk whit a standar boot code..
Exit.


virus


# En "Enter your choice" presione '2' y luego "Enter".

# MBRCheck le solicitará "Enter the physical disk number to fix (0-99, -1 to cancel):" donde deberá ingresar el numero que se muestra a continuación de la palabra "PhysicalDrive" que en este caso seria el numero '0' y "Enter"


antispyware


En el siguiente paso MBRCheck mostrará los códigos disponibles de MBR:, seguido de una lista de Sistemas Operativos:

troyanos

# Introduzca el numero ----- acorde a su S.O, ingrese el numero y presione "Enter"

# Se le pedirá confirmación para continuar: Escriba "Yes" y presione "Enter"

# Cierre el programa y reinicie su equipo.

# Luego de reiniciar, ejecute nuevamente MBRCheck.exe, para confirmar que su Sistema este libre de Bootkits y ver su correcto MBR.


rootkits


Actualice y ejecute MalwareBytes' Antimalware eliminando todo lo que este detecte.

Ejecute CCleaner, para limpiar cookies, temporales y el Registro. Úselo de acuerdo a su manual.


Fuente:

eliminar

http://www.forospyware.com/

1 comentario - Nuevo Whistler Bootkit (Rootkit) + [Tuto de Eliminacion]

Manueru_Mercado
Para descargar y utilizar un nuevo antimalware debo desinstalar mi antivirus? tengo el kapersky, y no me gustaría desinstalarlo :S puedo ejecutar el mismo kapersky? y luego utilizar el Ccleaner? y muchas gracias, espero con esto ya deje de bajarce solo el volumen de mi PC