Problema con Virus MLourdesHR y Windan(Archivos tamaño 1Kb)

JACHP · Mensaje por **JACHP** » 27 Sep 2006, 10:17

Mi disco duro fue atacado por el virus MLourdesHR. se genero un archivo MLHR_Corporation_GeDzAc.htm donde aparece el mensaje de que la computadora esta fuera de servicio o sea pasando a mejor vida Atte. MLHR Corporation.

Ademas todos los archivos de word o de excel o de powerpoint e incluso de otras aplicaciones al abrirlos aparece solo el texto:

'Virus MLourdesHR Feliz año 2004 para todos. Para mayor informacion enviar un mail a tips@esmas.com donde hablamos de computacion en tu idioma Dime solo esta vez, que has pensado,.. solo esta vez'

Ademas el tamaño de los archivos a cambiado a 1 Kb.

Encontre una 'copia' de la carpeta Mis documentos dentro de Windows\Mis Documentos pero no puedo encontrar los archivos reales con su contenido.

Me podrias ayudar y decirme como puedo recuperar estos archivos de trabajo ya que he perdido mi respaldo?

Mensaje por **msc hotline sat** » 27 Sep 2006, 11:02

Ya hace varios años que es este foro atendimos a muchos mexicanos ante el primer ataque del MLourdes HRA, logrando controlarlo y evitar futuras infecciones , y sobre la segunda generacion lo unico que hemos recibido son muestras de los ficheros de 1 KB ya sobreescritos e inutiles, si bien estamos a la espera de alguien que nos pueda enviar muestras del gusano que con el mismo nombre LSASS del de sistema, se esconde la carpeta c:\windows, no en la de sistema como el original de windows, segun indicaciones:

http://www.vsantivirus.com/troj-windang-b.htm

lamentablemente no conocemos recuperacion al respecto, pero si nos envia el fichero en cuestion, lo analizaremos e informaremos

recuerde C:\windows\lsass.exe , no c:\windows\system32\lsass.exe !

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 27-9-2006

Mensaje por **msc hotline sat** » 29 Sep 2006, 13:10

Efectivamente, se han recibido las muestras de los ficheros sobreescritos a 1 KB con el mensaje virico del WINDANG y tambien el gusano que le pediamos, el C:\windows\lsass.exe que es la madre del cordero !

Analizados los ficheros, los de 1 KB estan sobreescritos y no es posible recuperarlos, si es que antes habia en ellos informacion deseada.

De todas formas reproduciremos el proceso del virus a ver si hace alguna copia en otra parte por la que podamos acceder a lo original.

Del analisis del gusano en cuestion, vemos que aun hay antivirus que no lo detectan ni controlan, lo cual es muy grave a estas alturas, y conviene saberlo para tener a estos antivirus en cuenta, especialmente en paises donde hay incidencias !!!

[quote="VirusTotal"]

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "Lsass.gxe" que VirusTotal ha recibido el día 29.09.2006 a las 12:27:50 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.2.0.18 29.09.2006 TR/Windang.A

Authentium 4.93.8 28.09.2006 no ha encontrado virus

Avast 4.7.892.0 27.09.2006 Win32:Trojan-gen. {VB}

AVG 386 27.09.2006 no ha encontrado virus

BitDefender 7.2 29.09.2006 no ha encontrado virus

CAT-QuickHeal 8.00 28.09.2006 no ha encontrado virus

ClamAV devel-20060426 28.09.2006 no ha encontrado virus

eTrust-InoculateIT 23.73.8 29.09.2006 Win32/Windang.49152!Trojan

eTrust-Vet 30.3.3104 28.09.2006 Win32/Windang.49152

DrWeb 4.33 29.09.2006 Win32.HLLW.Windang

Ewido 4.0 29.09.2006 no ha encontrado virus

Fortinet 2.82.0.0 29.09.2006 W32/Windang.A!tr

F-Prot 3.16f 28.09.2006 no ha encontrado virus

F-Prot4 4.2.1.29 28.09.2006 no ha encontrado virus

Ikarus 0.2.65.0 29.09.2006 Win32.HLLW.Windang

Kaspersky 4.0.2.24 29.09.2006 Virus.Win32.HLLW.Windang

McAfee 4862 28.09.2006 W32/Windang.worm

Microsoft 1.1603 29.09.2006 Worm:Win32/Windang

NOD32v2 1.1782 29.09.2006 Win32/HLLW.Windang.A

Norman 5.80.02 28.09.2006 no ha encontrado virus

Panda 9.0.0.4 28.09.2006 Trj/Windang.A

Sophos 4.10.0 29.09.2006 W32/Floppy-B

Symantec 8.0 29.09.2006 no ha encontrado virus

TheHacker 6.0.1.086 29.09.2006 W32/Loulod.worm

UNA 1.83 28.09.2006 no ha encontrado virus

VBA32 3.11.1 29.09.2006 suspected of Worm.VB.10

VirusBuster 4.3.7:9 28.09.2006 Worm.Windang.A

Información adicional

Tamaño archivo: 49152 bytes

MD5: 10a47153d0cd7fa3a12128b53cf9add5

SHA1: 3f64b6171b5eeb7eecd621b6c60e1f04ff630483

[/quote]

De entre los antivirus conocidos que no lo controlan cabe resaltar al AVG, al Bit Defender, al F-PROT, ak de Norman, y al Norton de Symantec !!!

[quote]
AVG 386 27.09.2006 no ha encontrado virus

BitDefender 7.2 29.09.2006 no ha encontrado virus

F-Prot 3.16f 28.09.2006 no ha encontrado virus

F-Prot4 4.2.1.29 28.09.2006 no ha encontrado virus

Norman 5.80.02 28.09.2006 no ha encontrado virus

Symantec 8.0 29.09.2006 no ha encontrado virus
[/quote]

Este virus está firmado por GEDZAC Labs y es la segunda parte del que afectó a muchos usuarios mexicanos hace años, y que gracias a este foro y a McAfee pudo ser controlado, y esta segunda parte aunque hemos tenido incidencias no habiamos conseguido muestra de la madre, lo cual se ha recibido de JACHP en este Tema, y gracias a lo cual hemos podido saber los antivirus que lo controlan y los que no, aparte de pasar a monitorizar su comportamiento y ver la posibilidad de recuperacion de datos, lo cual pasaremos a hacer a continuacion

De este segundo hemos tenido incidencias en Venezuela, Peru, Colombia, Chile, por supuesto Mexico y hasta en España, si bien su propagacion es lenta al ser por disquete o por ordenador portatil de un viajero, como fue un caso en Santiago de Compostela, España, de una persona que volvio de un viaje a la "zona critica" :(

La sorpresa mayuscula es que Symantec aun no lo controle, cuando nos consta que tienen presebcia en el mercado mexicano y sudamericano, donde este virus ha tenido y tiene mas incidencia.

Otro que tal es BtDefender, si bien no es comparable en estructura y cantidad de usuarios a Symantec

Norman, F-prot y AVG deberian controilarlo, pero...

McAfee fue el primero en controlar ya el anterior, porque se lo enviamos nosotros, y este lo controla igualmente, como se puede comprobar en el test

seguiremos informando.

saludos

ms, 29-9-2006

nota:

Se puede ver la descripcion de este virus segun VSAntivirus:

http://www.vsantivirus.com/troj-windang-a.htm

En SATINFO tenemos la utilidad ELIWINDA.EXE que elimina claves y ficheros malwares al respecto, la cual potenciaremos con la deteccion por cadenas gracias a la muestra recibda, de lo cual informaremos, ms.