Backdoor.Fynloski/Variant (TERMINADO)

[geoda]

Amigo de nuevo les escribo con este problema

mi antivirus me detecta estos virus pero elistara no

SUPERAntiSpyware Scan Log

http://www.superantispyware.com



Generated 11/21/2014 at 10:19 PM



Application Version : 6.0.1164

Database Version : 11615



Scan type : Complete Scan

Total Scan Time : 01:09:33



Operating System Information

Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)

Administrator



Memory items scanned : 667

Memory threats detected : 0

Registry items scanned : 37789

Registry threats detected : 0

File items scanned : 18509

File threats detected : 132



Adware.Tracking Cookie

cdn1.static.youporn.phncdn.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\X3L2KWXY ]

xxxbunker.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\X3L2KWXY ]

.yadro.ru [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.openstat.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.ad.mlnadvertising.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.doubleclick.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.burstnet.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.burstnet.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.casalemedia.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.casalemedia.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.casalemedia.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.casalemedia.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.casalemedia.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.revsci.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

c1.adform.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

c1.adform.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.adform.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.ru4.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.imrworldwide.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.histats.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.rambler.ru [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.hotlog.ru [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.tns-counter.ru [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.rambler.ru [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.ixxx.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

http://www.ixxx.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.pornicom.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.ixxx.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.ixxx.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.ixxx.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.ixxx.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

seykines.blogspot.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

seykines.blogspot.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.statcounter.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.justporno.tv [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.revsci.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.revsci.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.revsci.net [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]

.statcounter.com [ C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\MOZILLA\FIREFOX\PROFILES\029AMQ7V.DEFAULT\COOKIES.SQLITE ]



Trojan.Agent/Gen-VBInject

C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\THINSTALL\DECRYPTPDF V2.80\SKEL\618744AFDC547AAA201327933260627317ABFE33\QUALITYAGENT.EXE



Backdoor.Fynloski/Variant

C:\DOCUMENTS AND SETTINGS\SKYOS\DATOS DE PROGRAMA\WEB.EXE



Trojan.Agent/Gen-FakeAv

C:\ARCHIVOS DE PROGRAMA\INTERNET TIGO\GPSPLUGIN.DLL



============

End of Log

============

[geoda]

les envio muestras de los detectados tambien por correo el pass virus

Fichero: web.rar | Tamaño: 104,84 Kb

MD5: 82B90E00233A825E7ADA3B71EB1884A4

Fichero: GpsPlugin.rar | Tamaño: 23,34 Kb

MD5: BB0880D61B7B08B84420BCCD778F8D96

Fichero: QualityAgent.rar | Tamaño: 6,66 Kb

MD5: 28B255EE7A755E38A0FD0F723A36C80F

[geoda]

(22-11-2014 03:11:51 (GMT))

EliStartPage v31.07 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22793



Lista de Acciones (por Acción Directa):

Detectado Standar.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(22-11-2014 03:17:47 (GMT))

EliStartPage v31.07 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22793



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8266

Nº Total de Ficheros: 130812

Nº de Ficheros Analizados: 59856

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

En el primer informe vemos que se relacionan Cookies, de las que el ELISTARA no se cuida,



Y recordar que el ELISTARA es una utilidad con la que complementamos el antivirus de McAfee (VirusScan), controlando las muestras que nos llegan para analizar y que muchas veces ya pide su sistema heuristico, si se trata de variantes de malwares ya conocidos.



Cuando hayamos recibido las muestras que dice habernos enviado, y que posiblemente estén en proceso de monitorizacion, si resultan ser malware, las pasaremos a controlar en la siguiente version, de lo cual informaremos



saludos



m,s, 25-11-2014

[geoda]

(21-11-2014 19:00:36 (GMT))

EliStartPage v31.07 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22793



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-11-2014 19:06:00 (GMT))

EliStartPage v31.07 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 21 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22793



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7046

Nº Total de Ficheros: 113091

Nº de Ficheros Analizados: 54267

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(25-11-2014 21:47:57 (GMT))

EliStartPage v31.09 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22825



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(25-11-2014 21:48:08 (GMT))

EliStartPage v31.09 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22825



Lista de Acciones (por Exploración):

Explorando "M:\"



Nº Total de Directorios: 71

Nº Total de Ficheros: 131

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-11-2014 21:48:12 (GMT))

EliStartPage v31.09 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22825



Lista de Acciones (por Exploración):

Explorando "M:\"



Nº Total de Directorios: 71

Nº Total de Ficheros: 131

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(25-11-2014 22:54:50 (GMT))

EliStartPage v31.09 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22825



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(25-11-2014 23:00:46 (GMT))

EliStartPage v31.09 (c)2014 S.G.H. / Satinfo S.L. (Actualizado el 25 de Noviembre del 2014)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1123561945-152049171-682003330-500

Cadenas Víricas: 22825



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8253

Nº Total de Ficheros: 128480

Nº de Ficheros Analizados: 59914

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Hey Geoda !



Esperabamos recibir ficheros tuyos con muestras de nuevos malware no controlados, pero no nos consta su entrada, aun habiendolos buscado entre los recibidos los ultimos días.



Te recordamos las Normas para ello:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334&p=199011#p199011





Sobre todo poner password a los ZIP o RAR que contengan las muestras sospechosas, pues sino pueden ser interceptadas por los antivirus de correo y no llegarnos para su analisis y control.





saludos



ms, 26-11-2014

[geoda]

amigo gmail no me deja subir este tipo de archivos asi que usare otro servicio de correo si no les molesta mi nuevo correo es geoda@gmx.com

pass virus
[quote="msc hotline sat"]Hey Geoda !



Esperabamos recibir ficheros tuyos con muestras de nuevos malware no controlados, pero no nos consta su entrada, aun habiendolos buscado entre los recibidos los ultimos días.



Te recordamos las Normas para ello:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334&p=199011#p199011





Sobre todo poner password a los ZIP o RAR que contengan las muestras sospechosas, pues sino pueden ser interceptadas por los antivirus de correo y no llegarnos para su analisis y control.





saludos



ms, 26-11-2014[/quote]

[msc hotline sat]

Pues en cuanto los recibamos, los analizaremos e informarmos.



De todas formas ve descargando y probando las nuevas versiones que vamos publicando del ELISTARA, por si ya se controlaran con ellas,



Saludos



ms, 29-11-2014

[msc hotline sat]

De las muestras enviadas, a partir del ELISTARA 31.13 solo pasamos a controlar una:





QUALITYAGENT.EXE

variante de Trojan Quality

Controlado partir de ELISTARA 31.13

www.satinfo.es







En cambio los otros dos no los pasamos a controlar, por los motivos que se indican:



GPSPLUGIN.DLL

PLUGIN que no se sabe si es malicioso, al ser un complemento de una aplicacion.

Se desestima su control, como los demas plugins en general

www.satinfo.es





WEB.EXE

win rar autoextraible que genera fichero de cero bytes

se desestima su control, para evitar falsos positivos

www.satinfo.es





A partir de las 19 h CEST de hoy, el ELISTARA 31.13 estará disponible en nuestra web



Y dando por terminado el Tema, procedemos a cerrarlo





saludos



ms, 1-12-2014