WEBAPP-UNINSTALLER y otras Muestras. (SOLUCIONADO)

[geoda]

Tengo problema con este programa parte de Firefox el EliStartPage me lo detecta como virus

C:\Archivos de programa\Mozilla Firefox\WEBAPP-UNINSTALLER.EXE --> Eliminado, Ransom.Cryptolocker.Torrent

Viene desde El Firefox

[b]al bajar el EliPen 2.6 me baja el eliprota[/b]

http://down.zonavirus.com/programas/elipen/2.6/eliprota.zip

[b]Les Envio Muuestras para su analisis[/b]

[b]contraseña[/b] virus

Fichero: [b]webapp-uninstaller.rar[/b] | Tamaño: 62,73 Kb

MD5: 23458042748047C06105C78D274897CD

Fichero: [b]shazam.rar[/b] | Tamaño: 970,24 Kb

MD5: F4EC8C7718FA2D4CE12FE09E401034A7

Fichero: [b]#AsecChecker.rar[/b] | Tamaño: 181,45 Kb

MD5: 63E5A58CDD2FD39C65A7A4CC8C8E157A

Fichero: [b]By Slon.zip [/b]| Tamaño: 831,25 Kb

MD5: 529C60DE301C4A6C6488E5AA018C1D90

Fichero: c[b]opi.rar[/b] | Tamaño: 41,8 Kb

MD5: 693159324895F495298AB3835CA33A28

Fichero: [b]FastStone Capture 8.2.rar [/b]| Tamaño: 183,82 Kb

MD5: CC7FC82C6E40D4B095BBBA826E235F82

Fichero: [b]Free Helmet Heroes Hacks And Cheats.rar [/b]| Tamaño: 16,18 Kb

MD5: D6C990E9F2E8D94F1AB549A0A6A5CF65

Fichero: I[b]MServer.rar [/b]| Tamaño: 185,59 Kb

MD5: 83269FCBA90FE9CFBE0EB3A83F994EF5

Fichero: [b]PURCHASE ORDER CRYPT.rar [/b]| Tamaño: 206,07 Kb

MD5: 222FAFFB831E0E8009426CBFC1A655DF

Fichero: [b]sex gril.rar[/b] | Tamaño: 183,81 Kb

MD5: 1D14408FC522EEFAA0E4C22BEBD08EE0

Fichero: [b]svchost.rar [/b]| Tamaño: 263,61 Kb

MD5: 9194AC024B2817602626DA1631987F50

[geoda]

(26-6-2015 23:10:16 (GMT))

EliStartPage v32.58 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2015)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1715567821-1177238915-1644491937-500

Cadenas Víricas: 24222



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(26-6-2015 23:16:09 (GMT))

EliStartPage v32.58 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2015)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1715567821-1177238915-1644491937-500

Cadenas Víricas: 24222



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Mozilla Firefox\WEBAPP-UNINSTALLER.EXE --> Eliminado, Ransom.Cryptolocker.Torrent

C:\WINDOWS\system32\AUTODISC.DLL --> Eliminado, FakeMS.AutoDisc

Nº Total de Directorios: 7437

Nº Total de Ficheros: 106464

Nº de Ficheros Analizados: 58982

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(26-6-2015 23:16:35 (GMT))

EliStartPage v32.58 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2015)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1715567821-1177238915-1644491937-500

Cadenas Víricas: 24222



Lista de Acciones (por Cierre):

Detectados Programas Potecialmente No Deseados (PUPs).

Ejecute el EliPUPs para proceder con su Desinstalación.

"Haali Media Splitter"





Wed Jul 01 20:54:04 2015

EliProtoride v1.7 (c)2004 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad M:\

[msc hotline sat]

Hola Geoda !



Gracias por avisar sobre lo del ELIPEN, que efectivamente descargaba el ELIPROTA. Ya está solucionado, pruebalo de nuevo.



Y sobre las muestras para analizar, deben enviarse a virus@satinfo.es, como se indica en:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



Lo cual supongo que ya has hecho, y mañana lunes, cuando volvamos al trabajo en SATINFO, las analizaremos e informaremos



La primera que dices, WEBAPP-UNINSTALLER.EXE, debe ser un falso positivo, por contener la cadena con la que identificamos el CRYPTOLOCKER. Lo revisaremos y corregiremos





Por último, sobre el PUP que indicas, prueba con el ELIPUPS, marca la linea del final, en la que aparece dicho fichero y selecciona ELIMINAR. Si con ello no fuera suficiente, ve a la carpeta de Agregar o Quitar Programas, y desinstalalo desde alli.





saludos



ms, 5-7-2015

[msc hotline sat]

Hola geoda !



Recibidos los ficheros muestra que has enviado para analizar y controlar, vemos algunos que ya estan controlados por actual ELISTARA, como el IMSERVER y el PURCHASEORDER, y efectivamente, el que es un falso positivo, el webapp-uninstaller.exe en el que coincide la cadena de deteccion con la del cryptolocker, por ello es detectado y eliminado.



Por ello vamos a cambiar dicha cadena, por otra que siga detectando los cryptolockers pero que no esté en este fichero, para que no sea detectado ni eliminado.



Los demas que envias entran en monitorizacion y los que resulten positivos los añadiremos al control del ELISTARA 32.64 de hoy, en la cual corregiremos tambien la cadena del falso positivo.



Cuando lo descargues, prueba tus muestras y verás que este falso positivo ya estará corregido, y que de los demás, algun que otro ya estará controlado, y los que no, será porque o el fichero no ha sido operativo, o porque se ha considerado que es una instalacion que no debe eliminarse en dicha forma sino desinstalarse desde Agregar o Quitar programas.



Agradeciendo tu colaboración, recibe saludos



ms, 6.7.2015

[geoda]

msc hotline sat gracias por el Elipen corregir el links

perdon por tardar en responder es que trabajo en la semana y rebizo mis maquinas fin de semana

Cuando quero bajar el elistara me aparece esto

This page (http://www.zonavirus.com/descargas/elistara.asp) is currently offline. However, because the site uses CloudFlare's Always Online™ technology you can continue to surf a snapshot of the site. We will keep checking in the background and, as soon as the site comes back, you will automatically be served the live version. Always Online™ is powered by CloudFlare | Hide this Alert

Error estableciendo una conexión con la base de datos



perdonarme que les mande otras muestras sospechosas el lunes bajare la utilidad para revisar mis maquinas pero les mando otras muestras

Contraseña [b]virus[/b]



Fichero: chorme.rar | Tamaño: 167,45 Kb

MD5: A02BC221D1F9D521D7C6D0793A57120D



Fichero: Crypted.rar | Tamaño: 40,17 Kb

MD5: D76F7DE80E39F8F343E9257F87ABCCC2



Fichero: DLL-Injector.rar | Tamaño: 201,39 Kb

MD5: 6B8AF4DE204CCC0FAD8EFFD74C049049



Fichero: Facebook Attacker.rar | Tamaño: 60,93 Kb

MD5: 03899705EA30B084923B418ADE2BD5D5



Fichero: Geoda.worm.rar | Tamaño: 85,87 Kb

MD5: 1AA63F49B5D7A0895E0D89C560C745D3



Fichero: gggggggg.rar | Tamaño: 263,32 Kb

MD5: 530108E565A9818F7593CE6EB5348B15



Fichero: google.rar | Tamaño: 12,77 Kb

MD5: 63CBE76E41E5049A1D3DBE24B5ABB429



Fichero: gpLock.rar | Tamaño: 11,69 Kb

MD5: 67137C19A543228FA65C0DD5A37607B1



Fichero: hack1.rar | Tamaño: 173,3 Kb

MD5: FCF110825438EAD2A6B46677780DBB18



Fichero: hack trasformice.rar | Tamaño: 54,77 Kb

MD5: 65F9EC719576995698213B38DF1AFB81



Fichero: hid.rar | Tamaño: 104,02 Kb

MD5: 03300E3D19C1643F342B87E5A47003BD



Fichero: Knife generator.rar | Tamaño: 871,72 Kb

MD5: CCEA22028C5D5B6CB5283F810FDBC291



Fichero: Matchmaking Server Picker.rar | Tamaño: 277,37 Kb

MD5: 1D70B81EE0D8B15389A94B48C767ABB2



Fichero: Metin2 hack v2.rar | Tamaño: 135,58 Kb

MD5: B7B27A4E70D5342B8E184FC19E5BAB8C



Fichero: Nude.rar | Tamaño: 277,12 Kb

MD5: 09F7268201FCE89E3B35437D64B33F85



Fichero: photo.rar | Tamaño: 14,01 Kb

MD5: C444E7EDC4DC401B9BE2D34219E46417



Fichero: Phybot.zip | Tamaño: 235,6 Kb

MD5: 99E0850D1963C9BD243B3A2E690F514C



Fichero: pro.rar | Tamaño: 788,64 Kb

MD5: 2DCEFAD9E20026E5FDDE6E3523E58E55



Fichero: putty.exe.rar | Tamaño: 242,78 Kb

MD5: A13E6AB1A6584F7E80A02F0F6C30A77E



Fichero: SexyMe.zip | Tamaño: 372,17 Kb

MD5: B1DF9E1861AEB23D2BC5604DA3A1386D



Fichero: Spam Wf.rar | Tamaño: 954,13 Kb

MD5: DA988A01A6C38F53D3CF6A5BE3170EC5



Fichero: Tania.rar | Tamaño: 2,34 Kb

MD5: 8C425F5143C5D31499F80DDE1876B555



Fichero: David.1.zip | Tamaño: 360 Kb

MD5: 54655694825547659703B70458C97CCD



Fichero: iphone 4s icloud.rar | Tamaño: 97,5 Kb

MD5: 6340BB3CE0E46E14AE173BFCEB8932AF

[msc hotline sat]

Posiblemente habia algun problema en el servidor de descargas.



Acabo de subir la ultima version 32.69 del ELISTARA, comprueba que se te descargue bien y pruebala.



Las muestras que nos envias serán procesadas en cuanto nos sea posible.



De todas formas puede que alguna de ellas ya esté controlada con el actual 32.69



Gracias por tu colaboracion



saludos



ms, 14-7-2015

[geoda]

Amigos gracias por responder me di un tiempo les mando los resulatados de mi Laptop

en fin semana rebizare mis maquinas

(16-7-2015 19:23:09 (GMT))

EliStartPage v32.72 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2015)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1606980848-1580436667-2146999087-500

Cadenas Víricas: 24372



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(16-7-2015 19:29:10 (GMT))

EliStartPage v32.72 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2015)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1606980848-1580436667-2146999087-500

Cadenas Víricas: 24372



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\CHORME.EXE --> Eliminado, Keylogger.Bladabindi

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\CRYPTED.JSE --> Eliminado, Keylogger.Bladabindi(dr)

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\DAVID.1.EXE --> Eliminado, BackDoor.Blackshades

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\DLL_INJECTOR.EXE --> Eliminado, HackTool.InjDll

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\FACEBOOK ATTACKER.EXE --> Eliminado, Keylogger.Bladabindi.F

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\GGGGGGGG.EXE --> Eliminado, Keylogger.Fynloski

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\GOOGLE.EXE --> Eliminado, Keylogger.Bladabindi

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\HACK TRASFORMICE.EXE --> Eliminado, Keylogger.Bladabindi(dr)

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\HACK1.EXE --> Eliminado, Keylogger.Bladabindi

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\IPHONE 4S ICLOUD.EXE --> Eliminado, Keylogger.Bladabindi

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\KNIFE GENERATOR.EXE --> Eliminado, Trojan.Eskimo

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\METIN2 HACK V2.EXE --> Eliminado, Keylogger.Bladabindi

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\PHOTO.JSE --> Eliminado, Keylogger.Bladabindi(dr)

C:\Documents and Settings\SkyOS\Mis documentos\Mi música\CyberLink Cloud\DAVID.1.ZIP -> David.1.exe -> Detectado BackDoor.Blackshades



Nº Total de Directorios: 7479

Nº Total de Ficheros: 109955

Nº de Ficheros Analizados: 59481

Nº de Ficheros Infectados: 14

Nº de Ficheros Limpiados: 13



(16-7-2015 19:29:43 (GMT))

EliStartPage v32.72 (c)2015 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2015)

--------------------------------------------------

Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3

Usuario: SkyOS

ID de Usuario: S-1-5-21-1606980848-1580436667-2146999087-500

Cadenas Víricas: 24372



Lista de Acciones (por Cierre):

Detectados Programas Potecialmente No Deseados (PUPs).

Ejecute el EliPUPs para proceder con su Desinstalación.

"Haali Media Splitter"

[geoda]

Amigo estas muestras las envio para el analisiz gracias por ayudarme

contraseña virus



Fichero: SexyMe.rar | Tamaño: 368,07 Kb

MD5: C6370258DD1489D7BB407CE5F113BF38

Fichero: Skype.rar | Tamaño: 49,07 Kb

MD5: E31F4C0A2297939F1071774C1A2173A2

Fichero: 1494.rar | Tamaño: 443,83 Kb

MD5: 0F51BAD53BAB9CFF6AA1A6AC9E3C7402

Fichero: 8656(1).rar | Tamaño: 362,55 Kb

MD5: 896FDB10EB017473ABF2A64EA7F62768

Fichero: okiik.rar | Tamaño: 548,66 Kb

MD5: AB2D7A60A8A4FAC5FF48BACA3AE76C55

Fichero: Spemer.rar | Tamaño: 953,78 Kb

MD5: 6F76B4F8955F1E8C93F734A25C1B7CA9

Fichero: Satoshi Mines Bot.rar | Tamaño: 65,02 Kb

MD5: 52E984726DCBA441C3E2A43CEB995D2B

Fichero: DVDVideoSoft_Free_Studio_6_4_0_1107_keygen.rar | Tamaño: 1 MB

MD5: AB25E2316D1C85531F4C69C3082DA8A9

Fichero: Nude.rar | Tamaño: 277,12 Kb

MD5: 09F7268201FCE89E3B35437D64B33F85

Fichero: Tania.rar | Tamaño: 2,34 Kb

MD5: 8C425F5143C5D31499F80DDE1876B555

Fichero: hid.rar | Tamaño: 104,02 Kb

MD5: 03300E3D19C1643F342B87E5A47003BD

Fichero: pro.rar | Tamaño: 788,64 Kb

MD5: 2DCEFAD9E20026E5FDDE6E3523E58E55

Fichero: AskPIP_FF_.rar | Tamaño: 925,57 Kb

MD5: DF9F1E917904C7E2C1421B059C038E15

[msc hotline sat]

Pues ya ves en el infosat que, entre otros malwares, se detectaron y eliminaron muchas variantes de keylogger Bladabindi, lo cual nos extraña y deseamos nos aclares, por correo aparte, con las muestras, de donde las obtienes, no sea que te esten utilizando para probar si son detectables para irlas "mejorando"



Ya nos contaras, gracias



Saludos



ms, 17-7-2015

[geoda]

[quote="msc hotline sat"]Pues ya ves en el infosat que, entre otros malwares, se detectaron y eliminaron muchas variantes de keylogger Bladabindi, lo cual nos extraña y deseamos nos aclares, por correo aparte, con las muestras, de donde las obtienes, no sea que te esten utilizando para probar si son detectables para irlas "mejorando"



Ya nos contaras, gracias



Saludos



ms, 17-7-2015[/quote]
Amigos de Satinfo y zonavirus primeramente gracias por ayudarme en algunas muestras que les mande

[b]Segundo[/b] no ha cido mi intension Hacerles renegar a su digna empresa al mandar mis muestras

[b]Tercero[/b] yo tengo un Internet aproximadamente con + de 50 maquinas que trabara de Lunes a Sabado desde las 8.00 am a 24:30

yo les reviso los dias Domingos de ahi cuando hay archivos extraños los copio prar madarles a Ustedes los reviso las maquinas por mas de 5 horas

[b]Cuarto [/b]en ningun momento soy creador de Virus y nada del estilo yo trabajo de lunes a Sabado en la Mina

[b]Quinto[/b] Ya no les molestare mas para uqe no se enojen

Gracias por todo :oops: :oops: :oops: :|

[msc hotline sat]

Hola geoda.



No hemos pretendido indicar que seas creador de virus, pero dados tantos keyloggers Bladabindi nuevos que nos has enviado, salta la duda de si el autor del mismo te esta utilizando para ir "mejorándolos" hasta que no detectemos algún rootkit que pueda crear la monitorizacion de alguno de ellos.



Ya ves que hemos ido controlando lo que nos has ido enviando, y creo que aun hay algunas muestras pendientes de monitorizacion, las cuales pasaremos a controlar cuando se termine el proceso.



No es normal que un usuario tenga tantos malware se se de una misma familia, por ello te pedíamos la Fuente, si la sabias, para no caer en las redes de algún creador de malwares, que nunca hemos pensado que fueras tu, sino más bien que pudieran usarte involuntariamente.



De momento parece que todos los malwares detectados han sido eliminados, menos el último de la lista del infosat, que solo lo detectamos al estar dentro de un Zip. Desempaquetalo y comprueba que con el actual ELISTARA ya lo eliminas.



Y sin otro particular y pendientes de tus noticias, recibe saludos.



ms, 21-7-2015

[geoda]

[quote="msc hotline sat"]Hola geoda.



No hemos pretendido indicar que seas creador de virus, pero dados tantos keyloggers Bladabindi nuevos que nos has enviado, salta la duda de si el autor del mismo te esta utilizando para ir "mejorándolos" hasta que no detectemos algún rootkit que pueda crear la monitorizacion de alguno de ellos.



Ya ves que hemos ido controlando lo que nos has ido enviando, y creo que aun hay algunas muestras pendientes de monitorizacion, las cuales pasaremos a controlar cuando se termine el proceso.



No es normal que un usuario tenga tantos malware se se de una misma familia, por ello te pedíamos la Fuente, si la sabias, para no caer en las redes de algún creador de malwares, que nunca hemos pensado que fueras tu, sino más bien que pudieran usarte involuntariamente.



De momento parece que todos los malwares detectados han sido eliminados, menos el último de la lista del infosat, que solo lo detectamos al estar dentro de un Zip. Desempaquetalo y comprueba que con el actual ELISTARA ya lo eliminas.



Y sin otro particular y pendientes de tus noticias, recibe saludos.



ms, 21-7-2015[/quote]

Primeramente me disculpo con todos los Miembros de Satinfo y zonavirus

fui revisando estas dos semanas las maquinas especialmente el -serivdor vi que tenia instalado el Ares, y el Eagle get, FlashGet que tenian acitvado descargas automaticas lo que vi fue que esta pagina rghost.net es el descargador de la familia keylogger Bladabindi, vi esta pagina casi dos horas actualizando cada 5 minutos y el 100 % de sus Exe son virus como se muestra la imagen con algunas muestras

[url=http://www.imagebam.com/image/baee07425986556][img]http://thumbnails113.imagebam.com/42599/baee07425986556.jpg[/img][/url]



Fichero: Updater.rar | Tamaño: 162,96 Kb

MD5: 36FF7FD8E4C75958C9100C59720E0305



Fichero: bot.rar | Tamaño: 94,82 Kb

MD5: 8942EFBE843F8C475219294024C83C19



Fichero: HACKAER FACEBOOK.rar | Tamaño: 45,09 Kb

MD5: 41794171E40E4F1D0F9B47F652617BCA



Fichero: 27CA077C.rar | Tamaño: 3,19 Kb

MD5: F15AF32D6B5325DA5C641C4C9FC654CC

[msc hotline sat]

Pues ya sabes, bloquea el acceso a este site de rghost.net ya que tan mala experiencia tienes con ella.



Lo mas facil es que lo hagas añadiendo una linea de bloqueo en el HOSTS de tus equipos, redirigiendo al 127.0.0.1 cuando se prtenda entrar en dicho site:





127.0.0.1 Rghost.net





De todas formas las muestras que nos has enviado de este KEYLOGGER BLADABINDI ya son controladas y eliminadas por el actual ELISTARA.





Y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 2-8-2015