Registrese o identifiquese, para no ver la publicidad

SE VOLVIO LOCO EL ANTIVIRUS

¿tu ordenador va lento, pierdes la conexion a internet, se reinicia solo, salen errores continuamente... este es tu foro para tu problemas con los virus

SE VOLVIO LOCO EL ANTIVIRUS

Notapor vicen2 » 26-01-2013 10:47

Saludos a todos y en especial a los que mantienen esta página.
Os explico mi asunto.
Ayer conecté con la mula en Donkey Server2 ( el 1 estaba lleno) para seguir bajando cuatro cosas, nada raras, normalitas, ni canciones no pelis, solo un par de programas.
Al cabo de un rato el NOD32 se volvio loco enviandome mensajes de virus gusanos y demas bichos para ponerlos en cuarentena. No paraban de saltar pantallas y al entrar en Admon veo que a la misma velocidad que ponia en cuarentena iban entrando, en dos minutos paso de 150.000 una burrada.
Total que quite partición, formatee y reinstale caso todo, aunque curiosamente la unidad C ahora es G ( tengo tres discos duros).
¿Alguien sabe cual seria mas o menos el Alien que entro en el ordenata?
vicen2
Novato
Novato
 
Mensajes: 2
Registrado: 26-01-2013 10:47

Notapor msc hotline sat » 26-01-2013 10:47

Ayer nos ocupó mucho tiempo una nueva variante del Sality que genera un Stration, el cual propaga mails a troche y a moche, y como caracteristica principal es que no deja arrancar en modo seguro y que el Sality infecta muchos ejecutables, aunque no se ejecutaran, y al impedir arrancar en modo seguro no se puede lanzar el antivirus para que lo limpie. con lo cual fue necesario crear un ELISTRAT que pudiera ejecutarse desde disquete protegido o CD ROM no modificable para que no se infectara, y con ello ya restaurar la posibilidad de arrancar en modo seguro y a continuacion lanzar un antivirus que limpie los ficheros infectados con el Sality

Ayer vimos que algunos antivirus que lo detectaban, lo limpiaban mal, dejando el fichero ejecutable corrupto, por lo que indicaba APLICACION NO VALIDA y no seguía. Eso lo vimos con el antivirus ONLINE de CAI, pero seguramente con otros pasa lo mismo pues varios usuarios indicvaron el mismo problema y no creo que todos usaran el mismo antivirus

Hoy acabo de subir una muestra infectada a VIRUSTOTAL y me da este resultado:



ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "CALC.vxe" que VirusTotal ha recibido el día 18.01.2007 a las 10:08:07 (CET).

Antivirus Version Actualización Resultado
AntiVir 7.3.0.21 17.01.2007 no ha encontrado virus
Authentium 4.93.8 17.01.2007 no ha encontrado virus
Avast 4.7.936.0 17.01.2007 Win32:Sality-AM
AVG 386 18.01.2007 Win32/Sality
BitDefender 7.2 18.01.2007 Win32.Sality.N
CAT-QuickHeal 9.00 17.01.2007 W32.Sality.S
ClamAV devel-20060426 18.01.2007 no ha encontrado virus
DrWeb 4.33 17.01.2007 Win32.Sector.28682
eSafe 7.0.14.0 17.01.2007 Suspicious Trojan/Worm
eTrust-InoculateIT 23.73.116 18.01.2007 Win32/Sality.S
eTrust-Vet 30.3.3334 18.01.2007 Win32/Sality.S
Ewido 4.0 17.01.2007 no ha encontrado virus
Fortinet 2.82.0.0 18.01.2007 W32/SALITY.AL
F-Prot 3.16f 17.01.2007 no ha encontrado virus
F-Prot4 4.2.1.29 17.01.2007 no ha encontrado virus
Ikarus T3.1.0.27 09.01.2007 no ha encontrado virus
Kaspersky 4.0.2.24 18.01.2007 no ha encontrado virus
McAfee 4941 17.01.2007 W32/Sality.y
Microsoft 1.1904 18.01.2007 no ha encontrado virus
NOD32v2 1987 18.01.2007 no ha encontrado virus
Norman 5.80.02 17.01.2007 W32/Sality.W
Panda 9.0.0.4 17.01.2007 W32/Sality.Y
Prevx1 V2 18.01.2007 no ha encontrado virus
Sophos 4.13.0 17.01.2007 W32/Sality-AD
Sunbelt 2.2.907.0 12.01.2007 no ha encontrado virus
TheHacker 6.0.3.148 14.01.2007 no ha encontrado virus
UNA 1.83 17.01.2007 no ha encontrado virus
VBA32 3.11.2 17.01.2007 suspected of Embedded.Email-Worm.Win32.Warezov.et
VirusBuster 4.3.19:9 18.01.2007 Win32.Sality.AA.Gen


Información adicional
Tamaño archivo: 143872 bytes
MD5: 9dd5fc92f880b7c3fabc98bf13421e00
SHA1: d83773324b2afa05caa1441cd9fe25e5520bedc0




Cabe indicar que el antivirus que usas (NOD32) ni hoy controla aun dicho virus, como se ve en el informe, aunque no es el unico, pues Kaspersky tampoco lo detecta

En cambio, desde ayer tarde McAfee lo detecta y desinfecta con la v 4941 como ya se ha indicado en otros Temas

Cada día hay nuevos malwares, pero ya que preguntas por el de moda, ayer fue este, y costó controlarlo, pero una vez mas lo logramos Imagen

saludos

ms, 18-01-2007
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81541
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Notapor msc hotline sat » 26-01-2013 10:47

Visto lo que indica de que NOD32 se volvia loco colocando en cuarentena miles de ficheros, cabe la hipotesis de que sin controlar el fichero infector de virus Sality, detectara elm Stration que iba generando y los iba moviendo a cuarentena.

Por ello hemos mirado si el Stration generado por dicho virua lo detecta NOD32, y sorpresa! lo detecta como Sality, para liar mas la cosa:

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "Wmdrtc32.dll" que VirusTotal ha recibido el día 18.01.2007 a las 10:49:30 (CET).

Antivirus Version Actualización Resultado
AntiVir 7.3.0.21 17.01.2007 Worm/Warezov.ET.16
Authentium 4.93.8 17.01.2007 W32/Sality.AF
Avast 4.7.936.0 17.01.2007 Win32:Sality-AM
AVG 386 18.01.2007 I-Worm/Stration.BOC
BitDefender 7.2 18.01.2007 Win32.Warezov.ET@mm
CAT-QuickHeal 9.00 17.01.2007 I-Worm.Warezov.et
ClamAV devel-20060426 18.01.2007 no ha encontrado virus
DrWeb 4.33 18.01.2007 Win32.Sector.28682
eSafe 7.0.14.0 18.01.2007 no ha encontrado virus
eTrust-InoculateIT 23.73.116 18.01.2007 Win32/Sality.S!DLL!Worm
eTrust-Vet 30.3.3334 18.01.2007 Win32/Sality.S
Ewido 4.0 17.01.2007 Worm.Warezov.et
Fortinet 2.82.0.0 18.01.2007 W32/Stration.ET@mm
F-Prot 3.16f 17.01.2007 W32/Sality.AF
F-Prot4 4.2.1.29 17.01.2007 W32/Sality.AF
Ikarus T3.1.0.27 09.01.2007 no ha encontrado virus
Kaspersky 4.0.2.24 18.01.2007 Email-Worm.Win32.Warezov.et
McAfee 4941 17.01.2007 W32/Stration@MM
Microsoft 1.1904 18.01.2007 no ha encontrado virus
NOD32v2 1988 18.01.2007 Win32/Sality.NAM
Norman 5.80.02 17.01.2007 W32/Stration.EFZ
Panda 9.0.0.4 17.01.2007 W32/Sality.Y
Prevx1 V2 18.01.2007 no ha encontrado virus
Sophos 4.13.0 17.01.2007 W32/Sality-AD
Sunbelt 2.2.907.0 12.01.2007 no ha encontrado virus
TheHacker 6.0.3.148 14.01.2007 no ha encontrado virus
UNA 1.83 17.01.2007 I-Worm.Warezov.et
VBA32 3.11.2 17.01.2007 Email-Worm.Win32.Warezov.et
VirusBuster 4.3.19:9 18.01.2007 Win32.Sality.AA


Información adicional
Tamaño archivo: 40960 bytes
MD5: 03ebc053c8eec6b4f4afbbb5dc64b169
SHA1: 9ed172dbce1a6a1dd20e08a9720afba210eee79c


Por ello tenga en cuenta esta posibilidad, y aunque use NOD32, descargue nuestra utilidad ELISTRAT en otro ordenadro, la copia a un disquete QUE PROTEGE A CONTNUACION CONTRA ESCRITURA, o a un CDROM, y desde alli lo ejecuta en la maquina infectada, que encuentre o no virus, si hay bloqueo de arrancar en modo seguro lo liberará.

A continuacion, arranque en modo seguro con funciones de Red y lance el McAfee ONLINE a ver si detecta el Sality, no lo haga con el NOD que no lo controla...

Y si lo detcta, este ONLINE no limpia, asi que o espera a que los de NOD lo limpien o instala un McAfee cuya version 4941 lo hace perfectamente, arrancando en modo seguro , siempre y cuando se confirme que sea este virus, claro.

saludos

ms, 18-01-2007
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81541
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Notapor vicen2 » 26-01-2013 10:47

eso pasaba, no podia arrancar en modo seguro y lanzar el antivirus, aunque por lo que me decis de poco habria servido.
Saludos
vicen2
Novato
Novato
 
Mensajes: 2
Registrado: 26-01-2013 10:47

Notapor msc hotline sat » 26-01-2013 10:47

Mira por donde :lol:

Pues sigue lo indicado y nos cuentas, que a lo mejor...

saludos

ms, 18-01-2007

nota: el bagle tambien impide el arranque en modo seguro, Si quieres, prueba tambien el ELIBAGLA por si acaso: ELIBAGLA:
http://www.zonavirus.com/descargas/elibagla.asp
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81541
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Notapor msc hotline sat » 26-01-2013 10:47

Es preocupante, pero aun ni NOD32 ni Kaspersky detectan hoy este virus Sality.Y:

VirusTOTAL escribió:ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "CALC.vxe" que VirusTotal ha recibido el día 19.01.2007 a las 11:18:32 (CET).

Antivirus Version Actualización Resultado
AntiVir 7.3.0.26 19.01.2007 no ha encontrado virus
Authentium 4.93.8 19.01.2007 no ha encontrado virus
Avast 4.7.936.0 18.01.2007 Win32:Sality-AM
AVG 386 18.01.2007 Win32/Sality
BitDefender 7.2 19.01.2007 Win32.Sality.N
CAT-QuickHeal 9.00 19.01.2007 W32.Sality.S
ClamAV devel-20060426 19.01.2007 no ha encontrado virus
DrWeb 4.33 19.01.2007 Win32.Sector.28682
eSafe 7.0.14.0 19.01.2007 Win32.Sality.X
eTrust-InoculateIT 23.73.117 19.01.2007 Win32/Sality.S
eTrust-Vet 30.3.3336 19.01.2007 Win32/Sality.S
Ewido 4.0 18.01.2007 no ha encontrado virus
Fortinet 2.82.0.0 19.01.2007 W32/SALITY.AL
F-Prot 3.16f 19.01.2007 no ha encontrado virus
F-Prot4 4.2.1.29 19.01.2007 no ha encontrado virus
Ikarus T3.1.0.27 09.01.2007 no ha encontrado virus
Kaspersky 4.0.2.24 19.01.2007 no ha encontrado virus
McAfee 4942 18.01.2007 W32/Sality.y
Microsoft 1.1904 19.01.2007 Win32/Sality.T
NOD32v2 1990 19.01.2007 no ha encontrado virus
Norman 5.80.02 18.01.2007 W32/Sality.W
Panda 9.0.0.4 19.01.2007 W32/Sality.Y
Prevx1 V2 19.01.2007 no ha encontrado virus
Sophos 4.13.0 19.01.2007 W32/Sality-AD
Sunbelt 2.2.907.0 12.01.2007 no ha encontrado virus
TheHacker 6.0.3.151 19.01.2007 no ha encontrado virus
UNA 1.83 18.01.2007 no ha encontrado virus
VBA32 3.11.2 18.01.2007 suspected of Embedded.Email-Worm.Win32.Warezov.et
VirusBuster 4.3.19:9 19.01.2007 Win32.Sality.AA.Gen


Información adicional
Tamaño archivo: 143872 bytes
MD5: 9dd5fc92f880b7c3fabc98bf13421e00
SHA1: d83773324b2afa05caa1441cd9fe25e5520bedc0


por lo que quienes usen dichos antivirus, vigilen que no esten enviando mails masivos, y si es el caso, miren si pueden arrancar en modo seguro y si es asi, sigan el metodo aconsejado...

Como que hemos enviado nota informativa al respecto a los asociados a los servicios tecnicos de Satinfo, la posteamos para que los foreros de zonavirus puedan obrar en consecuencia :


http://www.satinfo.es/web/2007/sality-stration.html


SATINFO

SERVICIO ASISTENCIA TECNICA INFORMATICA

http://www.satinfo.es Anterior

Nuevo doble virus infector y mail masivo que anula el inicio en “Modo Seguro”.


Nombre de virus: W32/Sality.Y y W32/Stration @ M
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: por correo electrónico.
Activación: Por ejecución de fichero
Detección: DAT 4941
Motor necesario: desde 4.4.0.0
Infección actual: Inicial (Inicial, Media, Elevada)

Esta semana estamos teniendo incidencias de un nuevo virus doble, el W32/Sality.Y más el W32/Stration @ MM, detectados por McAfee desde los DAT 4941.

El W32/Sality.Y infecta y genera el W32/Stration @ MM, que a su vez envia mails masivos con el W32/Sality.Y generando un ciclo vicioso entre los dos virus.


Síntomas de infección

Uno de los síntomas más destacados es un gran tráfico en la red (debido al envio masivo de mails) causado por el W32/Stration @ MM y también que el sistema no puede iniciar en “Modo Seguro”. El W32/Sality.Y es el infector, el cual, además de los cambios en el registro infecta los ejecutables añadiendo unos 28 k de código vírico.


Detección y eliminación

McAfee virusScan detecta y limpia los dos virus desde los DAT 4941, el problema está en los equipos ya infectados, ya que si no arrancamos en modo seguro el antivirus no puede limpiar los ficheros. Para este caso SATINFO ha creado una nueva versión del EliStrat, la 3.2, que además de eliminar el W32/Stration @ MM, libera la clave SafeBoot para poder iniciar el sistema en “Modo Seguro”

Para ejecutar el EliStrat se debe actuar con precaución, ya que el virus W32/Sality.Y está residente en memoria e infectará la utilidad, dejándola inoperativa. Para evitar esto, se puede ejecutar la utilidad desde disquete protegido contra escritura, CDROM o cualquier otro dispositivo sin privilegios de escritura, y una vez terminado, reiniciar el sistema en “Modo Seguro” para actualizar el antivirus y ejecutar un “Analisis bajo demanda” de todos los discos duros para proceder con la limpieza.

Se controlan desde los DAT 4941. Para su eliminación se recomienda descargar y ejecutar nuestra utilidad EliStrat.

SATINFO, VIRUSCAN SPAIN SERVICE 19 de Enero de 2007



saludos

ms, 19-01-2007
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81541
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)


Volver a Foro Virus - Cuentanos tu problema

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados


Registrese o identifiquese, para no ver la publicidad