Hola a todos. Quiero compartir con vosotros algo que me ha hecho ir de craneo esta semana en el trabajo.
Se trata de un par de troyanos que utilizan una tecnica nueva de auto-ocultacion al sistema operativo y que son muy jodidos de detectar y quitar.
Todavia no se por donde han entrado, supongo que a traves de correo pero el caso es que ni ANTIVIR, ni Karpeski, ni Panda o Mcfee han sido capaces de detectar la infeccion ni antes ni durante su ejecucion.
En el trabajo tenemos 14 PC's y usamos diferentes antivirus precisamente para evitar estas situaciones.
El martes detecte un descenso ABISMAL del Ancho de BANDA del ADSL y un continuo parpadeo de los leds de envio/recepcion.
En dos de los equipos obtenia el pantallazo tipico del blaster...pero no tenian blaster ni nada similar. Tras examinar el registro comprobamos que no exisitia ningun programa "extraño" en el arranque y ninguno de los antivirus anteriores fue capaz de detectar el problema. Habitualmente usamos Antivir que es de lo mejorcito aunque sea gratis...
Procedimos a un control a lo rapido que consistia en controlar con un sniffer y luego desconectando los cables de los equipos que se descontrolaron.
El PUTO TROYANO se dedicaba a usar nuestra red como servidor de CORREO para un sistema de SPAM MASIVO...Hijos de PUTA!!
Calculamos que en una sola noche habian hecho relay de unos 16.000 correos..COÑO!!
Como no teniamos ni PUTA IDEA de lo que le pasaba a los equipos barajmos la posibilidad de el virus se estuviese auto-ocultando de alguna manera y optamos por probar a instalar el SP2 para ver si en el arranque el SO era capaz de avisarnos de que algun programa estaba intentado acceder a la red.
Para evitar mamoneos y aunque no es recomendable desactivamos RESTAURAR EL SISTEMA y procedimos a la Instalacion y VOILA!!!!
Nada mas arrancar los equipos tras el asistente nuestro querido ANTIVIR empezo a detectar el puto troyano
![[chiu]](/images/smilies/nuevos2/karateka.gif "karateka")
(solo recuerdo que era un tipo Trojan.horse.B) y a partir de eso se acabaron los porblemas.
![[666]](/images/smilies/nuevos2/masmalo.gif "maloso")
Mis conclusiones :
Se trata de una nueva generacion de troyanos que curiosamente solo han atacado a los equipos con SP1 y que se autoocultan en el arbol de procesos , en el registro y QUE DEBIDO A LA NUEVA FORMA DE FUNCIONAR DEL REGISTRO CON EL SP2 se vuelven de nuevo vulnerables y mientras les dura el mambo se dedican a SPAMEAR a diestro y sisniestro.....
Digo nueva generacion por que ni con los antivirus genericos ni con los especificos (sasser, blaster , etc..) habia manera de detectarlos..
![[buaaj]](/images/smilies/nuevos2/vomitivo.gif "mas potas")
Que opinais vosotros ? Habeis oido algo similar en algun sitio o es algo que esta pasando y nadie se ha enterado ?
