Otra variante de este fastidioso backdoor, que requiere arrancar con CD de recuperación para poder renombrar a uno de sus componentes (el *.nls a *.nls.vir), y asi, tras reiniciar, poder acceder al componente real del ACPI.SYS, que si está el *.nls activo nos mostrará el ACPI.SYS original de windows, no el real infectado con dicho backdoor, todo lo cual lo pasaremos a controlar a partir del ElistarA 29.21 de hoy.
Normalmente al eliminar el ACPI.SYS malware, Windows restaurará una copia del original, pero si por alguna causa no fuera así, el equipo no arrancaría tras dicha eliminación, y se habría de arrancar de nuevo con el CD de Recuperacion (u otro LIVE CD) y copiar de otra máquina con igual sistema operativo, el fichero de sistema ACPI.SYS (de la carpeta DRIVERS dentro de la de sistema), a la misma carpeta (C:\windows\system32\drivers\) del disco afectado.
El preanalisis de virustotal ofrece este informe:
MD5 e24fa86e3486dcbfc67065466ad32757
SHA1 70b3a653d8c800c2ee7d8476a71cdec85e9db215
File size 178.0 KB ( 182276 bytes )
SHA256: 79f13cfc36bdcd40f2cc777b52947749f53f4ea5b5d6ea0a3e792899304327c9
Nombre: c_7265170.nls.vir
Detecciones: 7 / 48
Fecha de análisis: 2014-01-23 16:00:03 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Trojan.Simda.B 20140123
Avast Win32:RLoader-B 20140123
BitDefender Trojan.Simda.B 20140123
Emsisoft Trojan.Simda.B (B) 20140123
GData Trojan.Simda.B 20140123
MicroWorld-eScan Trojan.Simda.B 20140123
nProtect Trojan.Simda.B 20140123
Dicha version del ElistarA 29.21 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 23-1-2014
Normalmente al eliminar el ACPI.SYS malware, Windows restaurará una copia del original, pero si por alguna causa no fuera así, el equipo no arrancaría tras dicha eliminación, y se habría de arrancar de nuevo con el CD de Recuperacion (u otro LIVE CD) y copiar de otra máquina con igual sistema operativo, el fichero de sistema ACPI.SYS (de la carpeta DRIVERS dentro de la de sistema), a la misma carpeta (C:\windows\system32\drivers\) del disco afectado.
El preanalisis de virustotal ofrece este informe:
MD5 e24fa86e3486dcbfc67065466ad32757
SHA1 70b3a653d8c800c2ee7d8476a71cdec85e9db215
File size 178.0 KB ( 182276 bytes )
SHA256: 79f13cfc36bdcd40f2cc777b52947749f53f4ea5b5d6ea0a3e792899304327c9
Nombre: c_7265170.nls.vir
Detecciones: 7 / 48
Fecha de análisis: 2014-01-23 16:00:03 UTC ( hace 0 minutos )
0 1
Antivirus Resultado Actualización
Ad-Aware Trojan.Simda.B 20140123
Avast Win32:RLoader-B 20140123
BitDefender Trojan.Simda.B 20140123
Emsisoft Trojan.Simda.B (B) 20140123
GData Trojan.Simda.B 20140123
MicroWorld-eScan Trojan.Simda.B 20140123
nProtect Trojan.Simda.B 20140123
Dicha version del ElistarA 29.21 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy
saludos
ms, 23-1-2014