virus kof (SOLUCIONADO)

rodo224 · Mensaje por **rodo224** » 12 Dic 2006, 01:29

Quisiera saber que daños puede ocacionar el "virus" Kofcpfwsvcs.exe, se aloja en c:/windows/system32/Kofcpfwsvcs.exe y se copia a cualquier memoria USB que se introdusca en la computadora afectada alguien me puede ayudar? :?:

Mensaje por **msc hotline sat** » 12 Dic 2006, 07:46

Pues convendria que nos enviaras dicho fichero para poder analizarlo.

Por lo visto se autocopia en memorias USB e infecta los ordenadores que las usan, y se basa en un AUTORUN con atributos de sistema y ocultos, los cuales hay que saltarse para verlo

Para ello, configurar windows para ver archivos ocultos, y tambien desmarcar la casilla de ocultar los archivos de sistema, que por defecto viene marcada en windows

Para enviarnos las muesrtras:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Para eliminarlo, una vez hecho lo indicado, ir a la carpeta de sistema y se podrá borrar (si no está en uso) y despues ir a la memoria USB, acceder a ella pero EXPLORANDO y borrar las carpetas RECYCLER y AUTORUN.

saludos

ms, 12-12-2006

Mensaje por **msc hotline sat** » 12 Dic 2006, 12:02

Una vez en la empresa, comentando el hecho con McAfee, ya se controla como virus LEWOR.A desde mediados del mes pasado, si bien no hemos tenido incidencias al respecto:

http://vil.nai.com/vil/content/v_140898.htm

Si puede enviarnos la muestra en cuestion, podremos ampliar detalles y tratar de controlarlo con nuestras utilidades.

saludos

ms, 12-12-2006

Mensaje por **msc hotline sat** » 12 Dic 2006, 12:03

[quote="Sobre el LEWOR.A , McAfee"]

W32/Lewor.a is a parasitic file infector that can spread over USB storage devices, network drives, shared folders and QQ instant messenging. It also has a downloader component that installs additional malware on the infected machine.

Remote Download

Upon execution, W32/Lewor.a contacts the a user profile website on bbs.qq.com. This webpage may contain an encrypted malware URL used by the virus.

(bbs.qq.com is a legitimate website used by QQ instant messenging users, which is massively popular in China)

It follows that additional malware is downloaded from a website hosted on whboy.net. At the time of writing, the downloaded malware was found to be W32/Realor.worm.

Media and Network Propagation

W32/Lewor.a scans network drives and USB storage devices and prepends a copy of the virus onto Win32 executable (*.exe) files. It may also make a copy of itself onto USB storage devices and creates an autorun.inf file to autostart the virus on other Windows machines.

Other network shares on the LAN are scanned and W32/Lewor.a may access default shares using a list of known weak passwords. It then makes an attempt to schedule a remote task over NetBIOS. When successful, W32/Lewor.a can execute on he targeted machines.

It may also send rogue hyperlinks over QQ instant messenger to the victim's contact list. These hyperlinks typically contain IE exploits such as VBS/Psyme, Exploit-MS06-14.

(QQ is an instant messenging network commonly used in China)

Process Termination

When run with sufficient system permissions, W32/Lewor.a may attempt to terminate and disable the following processes:

QQKav QQAV VirusScan Symantec AntiVirus iDuba Wrapped gift Killer Winsock Expert IceSword Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe avp.exe IAMAPP.EXE NISUM.EXE IAMSTATS.EXE LUSPT.exe ccApp.exe ccEvtMgr.exe ccPxySvc.exe NISSERV.EXE .. and other Chinese security softwareAdditional applications that are launched after W32/Lewor.a is executed may also be prevented from executing.

Symptoms

1) Presence of one or more of the following file(s):

%Windir%\System32\spoclsv.exe(Where %Windir% is the Windows folder, e.g. C:\Windows)

2) Unexpected presence of one or more of the following file(s) residing in a network shared folders or USB storage device:

GameSetup.exe X:\setup.exe(Where X: is the drive letter used by a USB storage device)

3) Windows applications are launched but do not execute as usual.

4) Unexpected web connections to the following domain(s):

bbs.qq.com (legitimate site) whboy.net (malware site)5) Executable files grow in size by 28,672 bytes.

Method of Infection

W32/Lewor.a is a parasitic file infector that can spread over USB storage devices, network drives, shared folders and QQ instant messenging. It also has a downloader component that installs additional malware on the infected machine.

Removal

All Users:

Use specified engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Variants

Variants

N/A

[/quote]

Y si no es este del KOF es mas de lo mismo.

Pensamos que este medio de transmision virica equivale al de antaño del Boot de los disquetes, ahora que ya los disquetes han psado a la historia y que las memorias USB son el medio de intercambio de ficheos mediante soporte fisico

saludos

ms, 12-12-2006

rodo224 · Mensaje por **rodo224** » 13 Dic 2006, 03:38

bien... Gracias por su ayuda... ahora lo que quisiera saber es: en que daña a mi computadora? estube con ese virus por varias semanas sin saber que lo tenia y no parecia alentar mi compu y mi conexion a internet siguio igual... es decir no afectaba (segun yo) en nada a mi maquina

por otro lado he eliminado los archivos del virus pero en cuanto lo tenga de nuevo (porque seguramente asi sera) se los haré llegar

Mensaje por **msc hotline sat** » 13 Dic 2006, 06:38

Pues en cuanto nos los envie los analizaremos y podremos darle mas detalles.

Mientras lo que hay es lo indicado en los posts anteriores

saludos

ms, 13-12-2006

Mensaje por **msc hotline sat** » 19 Dic 2006, 12:35

Recibido fichero muestra, se procede a su examen. Con las utilidades de hoy se controlará. McAfee lo detecta como BACKDOOR CKB, por lo que es de preveer que actua como tal...

saludos

ms, 19-12-2006

Mensaje por **msc hotline sat** » 19 Dic 2006, 13:04

Efectivamente la ejecucion del fichero crea un AUTORUN.INF que ejecuta un AUTORUN.EXE de la carpeta RECYCLER\RECYCLER\ que resuktya ser una copia identica del gusano en cuestion

Se implementa en el ELITRIIP de hoy, si bien debe imdicarse exanminar la unidad de la memoria USB, ya que basicamenyte se examina siempre la unidad C:

saludos

ms, 19-12-2006

rodo224 · Mensaje por **rodo224** » 20 Dic 2006, 01:25

Muchas gracias por su ayuda ahora una pregunta para dar por cerrado este tema

se supone que lo elimine de mi computadora.. de la ruta c:/windows/system32 y elimine el autorun y la carpeta recicler de mi memoria usb.

es todo lo que tengo que hacer?

no deja algo ke me pueda dañar?

Mensaje por **msc hotline sat** » 20 Dic 2006, 07:54

Lo que le hayan podido hacer remotamente, al ser un backdoor, hecho está, y lo que hayan insertado o borrado... pero el virus ahora ya está eliminado

Si nota alguna anomalia, cuentenosla

saludos

ms, 20-12-2006

rodo224 · Mensaje por **rodo224** » 20 Dic 2006, 21:24

gracias por su ayuda... ahora como doy por concluido este tema?

cualquier otra cosa lo podemos poner en un nuevo tema no?

Mensaje por **msc hotline sat** » 21 Dic 2006, 06:09

Pues ya con la version actual de nuestra utilidad ELITRIIP se controla y elimina este virus, por lo que le sugerimos probarla:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

y dando por solucionado el Tema, procedemos a cerrralo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 21-12-2006