Envio de nuevo virus Cn911.exe (SOLUCIONADO)

[phergo]

Ya envie el nuevo virus llamado: Cn911.exe.

Este archivo se me copio en llave con una maquina que estaba desinfectado con el virus varsh.exe.

El Cn911 tambien crea un autorun.inf y se oculta como archivo de sistema e inclusive no se elimino con la version 14.30

Si pudieran decirme que es lo que hace este nuevo virus y como eliminarlo ya que es muy posible que todas las maquinas que desinfecte con el varsh.

Finalmente si me pudieran decir cual antivirus los detecta para proteger las maquinas ya que mis clientes son cafes internet y estan muy expuestas. Las maquinas se me vuelven a infectar ya que los clientes llegan con llaves mayas infectadas!!!!

Gracias por su colaboracion

[msc hotline sat]

Ante todo debe postear el contenido de C:\infosat.txt si ha utilizado el ELISTARA, para ver el proceso realizado, gracias



saludos



ms, 29-06-2007

[msc hotline sat]

Parece que el Panda lo conoce:


[quote="Panda"]




UsbStorm.APeligrosidad:

Daño:

Propagación:





Efectos







El objetivo principal de UsbStorm.A es propagarse a través de dispositivos de almacenamiento USB.



Además, intenta conectarse a la página web http://new<bloqueado>p.com.cn para descargar actualizaciones de sí mismo.







Metodo de Infección



UsbStorm.A crea el archivo INTERNT.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.



Además, crea los siguientes archivos en las unidades extraíbles si las hubiera:



CN911.EXE, que es también una copia del gusano.

AUTORUN.INF, que se encarga de ejecutar a UsbStorm.A.





UsbStorm.A crea la siguiente entrada en el Registro de Windows:



HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon

UserInit = %sysdir%\internt.exe

donde %sysdir% es el directorio de sistema de Windows.

Mediante esta entrada, UsbStorm.A consigue ejecutarse cada vez que Windows se inicia.





Método de Propagación



UsbStorm.A se propaga a través de unidades extraíbles realizando copias de sí mismo en ellas. Cuando una unidad extraíble infectada se conecta a otro ordenador, UsbStorm.A se activa y se queda residente a la espera de que se conecte una unidad extraíble en dicho ordenador.





Otros Detalles



UsbStorm.A está escrito en el lenguaje de programación Visual Basic v5. Este gusano tiene un tamaño de 20992 Bytes y está comprimido mediante NPack y PE_Patch.MaskPE.





Información actualizada: 15/06/2007
[/quote]

Si nos envia muestra del C:\windows\system32\internt.exe o del CN911.exe como se indica (no sé si lo ha hecho así):



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



implementaremos su eliminacion y control en nuestras utilidades, de lo cual informaremos



saludos



ms, 29-06-2007

[msc hotline sat]

Recibida muestra de CN911.exe, estamos en ello...



ms.

[msc hotline sat]

Deciamos:


[quote="msc"]


Publicado: Vie Jun 29, 2007 4:33 am Título del mensaje:



--------------------------------------------------------------------------------



Ante todo debe postear el contenido de C:\infosat.txt si ha utilizado el ELISTARA, para ver el proceso realizado, gracias



saludos



ms, 29-06-2007


[/quote]

Mire de hacer lo que le pedimos, sino perjudica la investigación !!!



saludos



ms, 29-06-2007

[msc hotline sat]

Como que no ha llegado a tiempo a postear el infosat.txt , hemos aplicado eliminacion por teoria, si bien puede ser provisional hasta que conozcamos los datos que le pediamos.



De todas formas hemos subido ya a esta web la version 14.31 del ELISTARA que puede probar y comnetarnos el resultado, Y POSTEARNOS EL CONTENIDO DEL CORRESPONDIENTE INFOSAT.TXT, gracias



saludos



ms, 29-06-2007

[phergo]

El virus Cn911.exe aparecio en mi llave pero no infecto mi maquina por no la ejecute directamente sino la explore lo que puedo enviar es un escaneo con el 14.30 en donde yo copie el archivo en la raiz de c: pero sin ejecutarlo

Gracias por sus repuestas

[msc hotline sat]

Envienos simplemente el infosat donde se vea la deteccion del AUTORUN.INF ejecutando el CN911.exe, que explorando su unidad de pendrive debe detectar, gracias.



Y eso de que no lo ejecutó... Simplemente por insertar el pendrive en cualquier ordenador se autoejecuta automaticamente el AUTORUN, de ahi que queremos ver lo que carga y de donde lo carga .



saludos



ms, 29-06-2007

[phergo]

ya envie el infosat.txt y ademas envie una aplicacion que me borra la version 14.30. Esta aplicacion me es muy necesaria ya que la usamos para marcar la entrada y salida de empleados por medio de huella digital

Perdon por la tardanza pero en mi pais es de mañana y hasta ahora me termino de escanear la maquina

Gracias por sus respuestas, como dicen aca son ustedes muy galletas.

[msc hotline sat]

Como que envió ??? Debe postearse en el foro !!!



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



ms,

[phergo]

Fri Jun 29 10:51:04 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\INTERNT.EXE.Muestra EliStartPage v14.30

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\INTERNT.EXE --> Renombrado a .VIR

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

OPEN=InstallMgr.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

open=Cn911.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Jun 29 10:51:53 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

[phergo]

Ya envie la muestra que el EliStartPage me pidio y el autrun que sale en D: es normal el que o lo es es el de f:

[msc hotline sat]

Este es el marrano:



Detectado AUTORUN.INF en la Unidad (F)

open=Cn911.exe





y efectivamente se trata de una nueva variante, pues el INTERNT.EXE ya lo conociamos, pero lo deben haber actualizado, y como que cada vez se baja la ultima version de una web china de internet... estamos listos !



Veremos si hay algo en comun entre la nueva y la conocida, para procurar pillar una proxima !



saludos



ms, 29-06-2007

[phergo]

Te agradezco la rapida respuesta a mi problema, nadamas acuerdate corregir la falsa al archivo administrador.exe que te envie ya que cada vez que paso el Elistarpage me borra el archivo de nuestro programa

[msc hotline sat]

Pues fácil lo tienes, desmarca la casilla de ELIMINAR FICHEROS AUTOMATICAMENTE, que está en la parte inferior izquierda de la ventana de EXLORACION y se te preguntará si quieres eliminarlo o no...



y no recuerdo que me hayan dicho haber recibido como FALSO POSITIVO este archivo, claro que solo me comentan las cosas especiales, ya que recibimos a diario cientos de mails y se distribuyen a cada departamento en funcion de lo que sea (a mi realmente no me llega ninguno, solo las muestras mas dificiles!)



Pero ya indicaste bien claro FALSO POSITIVO en el mail ??? como se indica que se debe hacer en estos casos:



https://foros.zonavirus.com/detecciones-de-falsos-positivos-en-utilidades-de-evaluacion-vt19441.html



Si no lo has hecho asi, repite el envio haciendolo como se indica, gracias



saludos



ms, 30-06-2007

[phergo]

Ya envie el falso positivo, tuve problemas al enviarlo por el tamaño pero lo comprimi en rar con pas: ADMIN

Pura Vida

[msc hotline sat]

No creo que los de I+D logren desempaquetarlo con este password, pero si se quejan ya se les dirá que prueben este.



Esta iniciativa de no usar el password que siempre indicamos le puede costar tener que volver a repetir el envio, pues no vamos a cambiar las normas por alguien que no las sigue ...:



Ademas, en este caso, al no ser virus, no haría falta ni password ! pues no va a ser interceptado.



gracias de todos modos



ms, 30-06-2007

[phergo]

Pido disculpas por el envio erroneo pero GMAIL no deja enviar archivos EXE, AUNQUE esten comprimidos son revisados asi que reenviare el correo con el password adecuado , tambien recuerdo es que es la primera vez que uso este medio y al archivo no ser virus no sabia que password ponerle no lo vi en las notas de envio falso positivo que pass usar si el archivo es bloqueado por politicas de seguridad del correo, lo que si sale es envio de archivos rar con el pass VIRUS pero no sabia que aplicara para cualquier archivo incluyedo los que no son virus, lo vi contradictorio pero me apegare a sus regllas para mantener el orden y a la vez pido disculpas al respecto

[msc hotline sat]

Tienes razon en lo del contrasentido, lo que pasa es que el password no quiere decir que lleve virus, es para codificar (encriptar) el empaquetado, y toda la vida hemos usado este nombre, como podiamos haber usado PEPE, pero McAfee indicó este, por ser palabra internacional y asi se quedó, y no vamos a cambiarlo despues de 15 años de usarlo a diario !



Y sobre lo que dices, simplemente empaquetandolo para poderlo enviar, que no fuera EXE, ya podrias enviarlo sin password alguno, en este caso, pero da igual, lo importante es que lo envies a zonavirus@satinfo.es y que pongas bien claro FALSO POSITIVO , gracias



saludos



ms, 30-06-2007

[msc hotline sat]

Bien, de los tres ficheros recibidos, dos son el virus que McAfee detecta como USBAUTO y quje ya se controla con el ELISTARA, y el otro es el falso positivo que se corrige con la version de hoy del ELISTARA 14.32, que estará disponible en esta web, para pruebas de evaluacion, a partir de las 16 H GMT



saludos



ms, 2-07-2007

[msc hotline sat]

Nueva muestra recibida de Luis Villalobos, que no tiene ningun Tema abierto ???, se añade al control del ELISTARA 14.35 como nueva variante del USBAUTO.



Se subirá a esta web parfa pruebas de evaluacion antes de las 16 H GMT



saludos



ms,. 5-07-2007

[phergo]

muchas gracias por la correccion de falso positivo e incluir el cn911 al elistara

[msc hotline sat]

Es un placer.



Y dando el tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 12-07-2007