SE VOLVIO LOCO EL ANTIVIRUS

Responder
vicen2
Mensajes: 2
Registrado: 18 Ene 2007, 10:49

SE VOLVIO LOCO EL ANTIVIRUS

Mensaje por vicen2 » 18 Ene 2007, 10:59

Saludos a todos y en especial a los que mantienen esta página.

Os explico mi asunto.

Ayer conecté con la mula en Donkey Server2 ( el 1 estaba lleno) para seguir bajando cuatro cosas, nada raras, normalitas, ni canciones no pelis, solo un par de programas.

Al cabo de un rato el NOD32 se volvio loco enviandome mensajes de virus gusanos y demas bichos para ponerlos en cuarentena. No paraban de saltar pantallas y al entrar en Admon veo que a la misma velocidad que ponia en cuarentena iban entrando, en dos minutos paso de 150.000 una burrada.

Total que quite partición, formatee y reinstale caso todo, aunque curiosamente la unidad C ahora es G ( tengo tres discos duros).

¿Alguien sabe cual seria mas o menos el Alien que entro en el ordenata?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 18 Ene 2007, 11:31

Ayer nos ocupó mucho tiempo una nueva variante del Sality que genera un Stration, el cual propaga mails a troche y a moche, y como caracteristica principal es que no deja arrancar en modo seguro y que el Sality infecta muchos ejecutables, aunque no se ejecutaran, y al impedir arrancar en modo seguro no se puede lanzar el antivirus para que lo limpie. con lo cual fue necesario crear un ELISTRAT que pudiera ejecutarse desde disquete protegido o CD ROM no modificable para que no se infectara, y con ello ya restaurar la posibilidad de arrancar en modo seguro y a continuacion lanzar un antivirus que limpie los ficheros infectados con el Sality



Ayer vimos que algunos antivirus que lo detectaban, lo limpiaban mal, dejando el fichero ejecutable corrupto, por lo que indicaba APLICACION NO VALIDA y no seguía. Eso lo vimos con el antivirus ONLINE de CAI, pero seguramente con otros pasa lo mismo pues varios usuarios indicvaron el mismo problema y no creo que todos usaran el mismo antivirus



Hoy acabo de subir una muestra infectada a VIRUSTOTAL y me da este resultado:




[quote]


ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "CALC.vxe" que VirusTotal ha recibido el día 18.01.2007 a las 10:08:07 (CET).



Antivirus Version Actualización Resultado

AntiVir 7.3.0.21 17.01.2007 no ha encontrado virus

Authentium 4.93.8 17.01.2007 no ha encontrado virus

Avast 4.7.936.0 17.01.2007 Win32:Sality-AM

AVG 386 18.01.2007 Win32/Sality

BitDefender 7.2 18.01.2007 Win32.Sality.N

CAT-QuickHeal 9.00 17.01.2007 W32.Sality.S

ClamAV devel-20060426 18.01.2007 no ha encontrado virus

DrWeb 4.33 17.01.2007 Win32.Sector.28682

eSafe 7.0.14.0 17.01.2007 Suspicious Trojan/Worm

eTrust-InoculateIT 23.73.116 18.01.2007 Win32/Sality.S

eTrust-Vet 30.3.3334 18.01.2007 Win32/Sality.S

Ewido 4.0 17.01.2007 no ha encontrado virus

Fortinet 2.82.0.0 18.01.2007 W32/SALITY.AL

F-Prot 3.16f 17.01.2007 no ha encontrado virus

F-Prot4 4.2.1.29 17.01.2007 no ha encontrado virus

Ikarus T3.1.0.27 09.01.2007 no ha encontrado virus

Kaspersky 4.0.2.24 18.01.2007 no ha encontrado virus

McAfee 4941 17.01.2007 W32/Sality.y

Microsoft 1.1904 18.01.2007 no ha encontrado virus

NOD32v2 1987 18.01.2007 no ha encontrado virus

Norman 5.80.02 17.01.2007 W32/Sality.W

Panda 9.0.0.4 17.01.2007 W32/Sality.Y

Prevx1 V2 18.01.2007 no ha encontrado virus

Sophos 4.13.0 17.01.2007 W32/Sality-AD

Sunbelt 2.2.907.0 12.01.2007 no ha encontrado virus

TheHacker 6.0.3.148 14.01.2007 no ha encontrado virus

UNA 1.83 17.01.2007 no ha encontrado virus

VBA32 3.11.2 17.01.2007 suspected of Embedded.Email-Worm.Win32.Warezov.et

VirusBuster 4.3.19:9 18.01.2007 Win32.Sality.AA.Gen





Información adicional

Tamaño archivo: 143872 bytes

MD5: 9dd5fc92f880b7c3fabc98bf13421e00

SHA1: d83773324b2afa05caa1441cd9fe25e5520bedc0


[/quote]




Cabe indicar que el antivirus que usas (NOD32) ni hoy controla aun dicho virus, como se ve en el informe, aunque no es el unico, pues Kaspersky tampoco lo detecta



En cambio, desde ayer tarde McAfee lo detecta y desinfecta con la v 4941 como ya se ha indicado en otros Temas



Cada día hay nuevos malwares, pero ya que preguntas por el de moda, ayer fue este, y costó controlarlo, pero una vez mas lo logramos [url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



saludos



ms, 18-01-2007

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 18 Ene 2007, 12:08

Visto lo que indica de que NOD32 se volvia loco colocando en cuarentena miles de ficheros, cabe la hipotesis de que sin controlar el fichero infector de virus Sality, detectara elm Stration que iba generando y los iba moviendo a cuarentena.



Por ello hemos mirado si el Stration generado por dicho virua lo detecta NOD32, y sorpresa! lo detecta como Sality, para liar mas la cosa:


[quote]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "Wmdrtc32.dll" que VirusTotal ha recibido el día 18.01.2007 a las 10:49:30 (CET).



Antivirus Version Actualización Resultado

AntiVir 7.3.0.21 17.01.2007 Worm/Warezov.ET.16

Authentium 4.93.8 17.01.2007 W32/Sality.AF

Avast 4.7.936.0 17.01.2007 Win32:Sality-AM

AVG 386 18.01.2007 I-Worm/Stration.BOC

BitDefender 7.2 18.01.2007 Win32.Warezov.ET@mm

CAT-QuickHeal 9.00 17.01.2007 I-Worm.Warezov.et

ClamAV devel-20060426 18.01.2007 no ha encontrado virus

DrWeb 4.33 18.01.2007 Win32.Sector.28682

eSafe 7.0.14.0 18.01.2007 no ha encontrado virus

eTrust-InoculateIT 23.73.116 18.01.2007 Win32/Sality.S!DLL!Worm

eTrust-Vet 30.3.3334 18.01.2007 Win32/Sality.S

Ewido 4.0 17.01.2007 Worm.Warezov.et

Fortinet 2.82.0.0 18.01.2007 W32/Stration.ET@mm

F-Prot 3.16f 17.01.2007 W32/Sality.AF

F-Prot4 4.2.1.29 17.01.2007 W32/Sality.AF

Ikarus T3.1.0.27 09.01.2007 no ha encontrado virus

Kaspersky 4.0.2.24 18.01.2007 Email-Worm.Win32.Warezov.et

McAfee 4941 17.01.2007 W32/Stration@MM

Microsoft 1.1904 18.01.2007 no ha encontrado virus

NOD32v2 1988 18.01.2007 Win32/Sality.NAM

Norman 5.80.02 17.01.2007 W32/Stration.EFZ

Panda 9.0.0.4 17.01.2007 W32/Sality.Y

Prevx1 V2 18.01.2007 no ha encontrado virus

Sophos 4.13.0 17.01.2007 W32/Sality-AD

Sunbelt 2.2.907.0 12.01.2007 no ha encontrado virus

TheHacker 6.0.3.148 14.01.2007 no ha encontrado virus

UNA 1.83 17.01.2007 I-Worm.Warezov.et

VBA32 3.11.2 17.01.2007 Email-Worm.Win32.Warezov.et

VirusBuster 4.3.19:9 18.01.2007 Win32.Sality.AA





Información adicional

Tamaño archivo: 40960 bytes

MD5: 03ebc053c8eec6b4f4afbbb5dc64b169

SHA1: 9ed172dbce1a6a1dd20e08a9720afba210eee79c [/quote]


Por ello tenga en cuenta esta posibilidad, y aunque use NOD32, descargue nuestra utilidad ELISTRAT en otro ordenadro, la copia a un disquete QUE PROTEGE A CONTNUACION CONTRA ESCRITURA, o a un CDROM, y desde alli lo ejecuta en la maquina infectada, que encuentre o no virus, si hay bloqueo de arrancar en modo seguro lo liberará.



A continuacion, arranque en modo seguro con funciones de Red y lance el McAfee ONLINE a ver si detecta el Sality, no lo haga con el NOD que no lo controla...



Y si lo detcta, este ONLINE no limpia, asi que o espera a que los de NOD lo limpien o instala un McAfee cuya version 4941 lo hace perfectamente, arrancando en modo seguro , siempre y cuando se confirme que sea este virus, claro.



saludos



ms, 18-01-2007

vicen2
Mensajes: 2
Registrado: 18 Ene 2007, 10:49

Mensaje por vicen2 » 18 Ene 2007, 12:11

eso pasaba, no podia arrancar en modo seguro y lanzar el antivirus, aunque por lo que me decis de poco habria servido.

Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 18 Ene 2007, 12:19

Mira por donde :lol:



Pues sigue lo indicado y nos cuentas, que a lo mejor...



saludos



ms, 18-01-2007



nota: el bagle tambien impide el arranque en modo seguro, Si quieres, prueba tambien el ELIBAGLA por si acaso: ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 19 Ene 2007, 12:31

Es preocupante, pero aun ni NOD32 ni Kaspersky detectan hoy este virus Sality.Y:


[quote="VirusTOTAL"]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "CALC.vxe" que VirusTotal ha recibido el día 19.01.2007 a las 11:18:32 (CET).



Antivirus Version Actualización Resultado

AntiVir 7.3.0.26 19.01.2007 no ha encontrado virus

Authentium 4.93.8 19.01.2007 no ha encontrado virus

Avast 4.7.936.0 18.01.2007 Win32:Sality-AM

AVG 386 18.01.2007 Win32/Sality

BitDefender 7.2 19.01.2007 Win32.Sality.N

CAT-QuickHeal 9.00 19.01.2007 W32.Sality.S

ClamAV devel-20060426 19.01.2007 no ha encontrado virus

DrWeb 4.33 19.01.2007 Win32.Sector.28682

eSafe 7.0.14.0 19.01.2007 Win32.Sality.X

eTrust-InoculateIT 23.73.117 19.01.2007 Win32/Sality.S

eTrust-Vet 30.3.3336 19.01.2007 Win32/Sality.S

Ewido 4.0 18.01.2007 no ha encontrado virus

Fortinet 2.82.0.0 19.01.2007 W32/SALITY.AL

F-Prot 3.16f 19.01.2007 no ha encontrado virus

F-Prot4 4.2.1.29 19.01.2007 no ha encontrado virus

Ikarus T3.1.0.27 09.01.2007 no ha encontrado virus

Kaspersky 4.0.2.24 19.01.2007 no ha encontrado virus

McAfee 4942 18.01.2007 W32/Sality.y

Microsoft 1.1904 19.01.2007 Win32/Sality.T

NOD32v2 1990 19.01.2007 no ha encontrado virus

Norman 5.80.02 18.01.2007 W32/Sality.W

Panda 9.0.0.4 19.01.2007 W32/Sality.Y

Prevx1 V2 19.01.2007 no ha encontrado virus

Sophos 4.13.0 19.01.2007 W32/Sality-AD

Sunbelt 2.2.907.0 12.01.2007 no ha encontrado virus

TheHacker 6.0.3.151 19.01.2007 no ha encontrado virus

UNA 1.83 18.01.2007 no ha encontrado virus

VBA32 3.11.2 18.01.2007 suspected of Embedded.Email-Worm.Win32.Warezov.et

VirusBuster 4.3.19:9 19.01.2007 Win32.Sality.AA.Gen





Información adicional

Tamaño archivo: 143872 bytes

MD5: 9dd5fc92f880b7c3fabc98bf13421e00

SHA1: d83773324b2afa05caa1441cd9fe25e5520bedc0
[/quote]


por lo que quienes usen dichos antivirus, vigilen que no esten enviando mails masivos, y si es el caso, miren si pueden arrancar en modo seguro y si es asi, sigan el metodo aconsejado...



Como que hemos enviado nota informativa al respecto a los asociados a los servicios tecnicos de Satinfo, la posteamos para que los foreros de zonavirus puedan obrar en consecuencia :





http://www.satinfo.es/web/2007/sality-stration.html


[quote]


[size=167]SATINFO[/size]



SERVICIO ASISTENCIA TECNICA INFORMATICA



http://www.satinfo.es Anterior



Nuevo doble virus infector y mail masivo que anula el inicio en “Modo Seguro”.





Nombre de virus: W32/Sality.Y y W32/Stration @ M

Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)

Propagación: por correo electrónico.

Activación: Por ejecución de fichero

Detección: DAT 4941

Motor necesario: desde 4.4.0.0

Infección actual: Inicial (Inicial, Media, Elevada)



Esta semana estamos teniendo incidencias de un nuevo virus doble, el W32/Sality.Y más el W32/Stration @ MM, detectados por McAfee desde los DAT 4941.



El W32/Sality.Y infecta y genera el W32/Stration @ MM, que a su vez envia mails masivos con el W32/Sality.Y generando un ciclo vicioso entre los dos virus.





Síntomas de infección



Uno de los síntomas más destacados es un gran tráfico en la red (debido al envio masivo de mails) causado por el W32/Stration @ MM y también que el sistema no puede iniciar en “Modo Seguro”. El W32/Sality.Y es el infector, el cual, además de los cambios en el registro infecta los ejecutables añadiendo unos 28 k de código vírico.





Detección y eliminación



McAfee virusScan detecta y limpia los dos virus desde los DAT 4941, el problema está en los equipos ya infectados, ya que si no arrancamos en modo seguro el antivirus no puede limpiar los ficheros. Para este caso SATINFO ha creado una nueva versión del EliStrat, la 3.2, que además de eliminar el W32/Stration @ MM, libera la clave SafeBoot para poder iniciar el sistema en “Modo Seguro”



Para ejecutar el EliStrat se debe actuar con precaución, ya que el virus W32/Sality.Y está residente en memoria e infectará la utilidad, dejándola inoperativa. Para evitar esto, se puede ejecutar la utilidad desde disquete protegido contra escritura, CDROM o cualquier otro dispositivo sin privilegios de escritura, y una vez terminado, reiniciar el sistema en “Modo Seguro” para actualizar el antivirus y ejecutar un “Analisis bajo demanda” de todos los discos duros para proceder con la limpieza.



Se controlan desde los DAT 4941. Para su eliminación se recomienda descargar y ejecutar nuestra utilidad EliStrat.



SATINFO, VIRUSCAN SPAIN SERVICE 19 de Enero de 2007


[/quote]


saludos



ms, 19-01-2007

Responder

Volver a “Foro Virus - Cuentanos tu problema”