Problemas con W32/Sdbot.worm.gen.ax

render · Mensaje por **render** » 22 Jun 2007, 11:45

Hola a todos.

Ante todo decir que soy nuevo y no sé si estoy exponiendo mi problema de forma adecuada y en el sitio correcto. He estado buscando y aplicanco algunas soluciones pero no resuelvo mi problema. Cuento mi caso.

Tengo un ordenador que me hace de firewall hacia el resto de la red y en este ordenado cada cierto tiempo me sale un mensaje del antivirus Mcafee con un fichero (lam[1].exe) que no puede borrar que esta infectado por W32/Sdbot.worm.gen.ax. En alguna ocasión también un tal a.exe

Da igual que borre el ficherito lam.exe o a.exe porque vuelve a salir. Pasé el ELITRIIP.01072007.EXE que algo me detectó y borró, pero el problema sigue con el fichero lam.exe.

En cuanto me vuelva a salir el ficherito lo adjunto.

¿ Que puedo hacer para salucionar esto ?

Gracias,

Mensaje por **msc hotline sat** » 22 Jun 2007, 12:25

Pues si el ELITRIIP no acaba con él, ni arrancando en modo seguro (pruebelo) y sino es el caso, envienos el fichero y lo analizaremos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-06-2007

render · Mensaje por **render** » 22 Jun 2007, 12:35

Gracias por la rápida respuesta.

Disculpas por la duplicación del mensaje. Me dio un error en el navegador y pensé que no se habia enviado correctamente.

Hace ya un buen rato que no me vuelve a salir la alerta. En cuanto lo haga envio el archivo.

Tengo una duda sobre el ELITRIIP. Como lo he corrido sobre el ordenador donde tengo instalado el firewall pues a todo lo que me a preguntado he respondido que NO. A la pregunta de si quiero bloquear el intento de intrusión por TCP445 respondo que no porque me da miedo que pueda repercutir en las funciones de enrutado del servidor firewall. Una vez me paso algo así instalando unos parches de Microsoft y tuve problemas desde la red interna para acceder al servidor de correo en una DMZ. Al fina tuve que inastalar otro firewall. no se si es que no lo hice en el orden correcto, lo hice mal o uno de los parches era para algo de RPC/DCOM y me deshabilitó RPC de forma que provocó problemas de comunicaciones. No sé.

Muchas gracias.

Mensaje por **msc hotline sat** » 22 Jun 2007, 12:42

En el caso del ELITRIIP, el port TCP445 se cierra temporalmemte solo hasta que se reinicia, para poder trabajar sin que puedan intrusionar , pero no es permanente,

para salir de dudas, cuando pueda enviarnos el fichero, lo analizaremnos

recuerde:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

render · Mensaje por **render** » 22 Jun 2007, 14:53

Hola,

Acaba de salirme otra vez la alerta con el fichero lam[1].exe pero con 0 bytes. con lo cual me parece que enviarlo no nos va a solucionar nada.

Mensaje por **msc hotline sat** » 22 Jun 2007, 16:00

Evidentemente, no te molestes a enviarnos ficheros de 0 bytes para analizar :wink:

Pero lanza el ELITRIIP Y aunque no detectes nada, posteanos el contenido de c:\infosat.txt y veremos lo que detectaste y eliminaste en su día gracias

saludos

ms, 22-06-2007

render · Mensaje por **render** » 25 Jun 2007, 12:05

Hola,

Esta mañana envié las muestras y logs para su revisión.

Me siguen saliendo las alertas con 0 bytes en los archivos.

Saludos y gracias,

Mensaje por **msc hotline sat** » 25 Jun 2007, 13:01

Pues posteanos aqui el contenido del c:\infosat.txt , gracias

saludos

ms, 25-06-2007

render · Mensaje por **render** » 25 Jun 2007, 13:05

También envié un archivo que me detecto infectado. Un tal a.exe.

EL contenido del archivo infosat.txt:

Fri Jun 22 09:30:27 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Jun 22 09:30:36 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINNT\system32\dllcache\tftpd.exe --> Eliminado, Nachi

Fri Jun 22 13:20:15 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Jun 22 13:20:20 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jun 25 08:51:06 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mon Jun 25 08:51:18 2007

EliTriIP v3.69 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jun 25 09:17:40 2007

EliStartPage v14.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\A.EXE.Muestra EliStartPage v14.25

a "virus@satinfo.es". Gracias.

C:\WINNT\SYSTEM32\A.EXE --> Eliminado

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jun 25 09:18:09 2007

EliStartPage v14.25 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Esto es todo.

Mensaje por **msc hotline sat** » 25 Jun 2007, 13:19

Recibido el fichero A.EXE

Nos dice al ejecutarlo que no es una aplicacion valida de 32 bits, por tanto ni puede analizarse ni procesarse.

Elimine dicho fichero

Y lance un windowsupdate para actualizar parches

Tras ello, diganos si persiste algun problema, para obrar en consecuencia

saludos

ms, 25-06-2007

render · Mensaje por **render** » 25 Jun 2007, 13:56

Gracias. Ya tengo activado el update para que descarge lo que haga falta.

El tal a.exe ha vuelto a salir pero en otro ordenador de mi red (un XP). Solo en uno. Pero al estar logeado como usuario sin privilegios pues a dado un error al intentar ejecutar e ltal archivo.

En fin... a ver que pasa.

Mensaje por **msc hotline sat** » 25 Jun 2007, 13:59

Cuando tengas uno que funcione, envianoslo y lo probaremos

saludos

ms, 25.06-2007

render · Mensaje por **render** » 25 Jun 2007, 15:18

Por el camino (email) va otra muestra de "a.exe". Esperemos que este si sea válido.

Saludos y gracias,

Mensaje por **msc hotline sat** » 25 Jun 2007, 17:06

NO, NO ES VALIDO.

AL EJECUTARLO DA QUE NO ES UNA APLICACION NO VALIDA DE WIN32

Comprueba que tampoco te debe funcionar a ti.

Quizas lo has bajado corrupto ???

Sea como fuere, si no es operatuvo no lo podemos analizar, claro.

saludos

ms, 25-06- 2007

render · Mensaje por **render** » 03 Jul 2007, 13:36

Hola de nuevo,

Al final solucioné el problema instalando un firewall nuevo. Sin embargo, revisando los logs del cortafuegos.. oh sorpresa... aparece de nuevo, esta vez en el log de conexión de uno de los usuarios, el ya famoso (al menos para mi) fichero ~~[b]~~lam.exe[/b].

Uno de los usuario tenia una conexión a esta página y archivo: <interceptado> ...

Consultando http://www.google.es/search?hl=es&q=bhtvradio&meta= veo que efectivamente existe este archivo y alguno más.

saludos,

Mensaje por **msc hotline sat** » 03 Jul 2007, 13:50

Creo que no llegaste a enviarnos este LAM.EXE, hazlo si puedes, gracias

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 3-07-2007

render · Mensaje por **render** » 03 Jul 2007, 14:13

Si, si lo envié. También un tal a.exe, el problema es que ó era un fichero w32 no valido o estaba los bytes a "0". Y descargarlo de la página web esa famosa me da cosa.... De todas formas voy a enviar de nuevo a.exe. Esta vez me lo detecta de otra forma el antivirus y puede que se sea ya una aplicación valida. Via email (en un par de minutos) os envio y comprimido. También envio otro lam.exe de oro usuario.

Mensaje por **msc hotline sat** » 03 Jul 2007, 14:20

Lo que envies será analizado, pero ya mañana, pues hoy ya se ha cerrado la entrada de muestras. (Hacemos jornada intensiva todo este mes)

Envialo cuando puedas, pues se van procesando a medida que han ido llegando, y siempre hay cola :roll:

saludos

ms, 3-07-2007

Mensaje por **msc hotline sat** » 05 Jul 2007, 12:44

Recibidas las muestras, estan corruptas y no son operativas (las dos son identicas)

Pero gracias a un link que indicabas de un amigo, nos hemos descargado el virus y seguimos con la investigación ....

render · Mensaje por **render** » 05 Jul 2007, 12:51

Gracias por la respuesta. Espero pues al resultado de la investigación.

Es curioso el hecho de que los archivos víricos objetos de este post descargados del sitio que sea hacia los puestos de los usuarios, al menos en mi caso, siempre estén corruptos... Y también he tratado de ejecutarlos y no hay manera.

Mensaje por **msc hotline sat** » 05 Jul 2007, 12:58

Es un dropper que genera un nsecurity que viene a ser un BOT de IRC (variante de SDBOT)

Pasamos a controlarlo con el ELITRIIP de hoy 3.74 que estará disponible en esta web a partir de las 16 H GMT, para pruebas de evaluacion

saludos

ms, 5-07-2007

render · Mensaje por **render** » 05 Jul 2007, 14:22

Muchas gracias. Antes de dar por teminada esta incidencia, y dado que no soy muy ucho en vocabulario vírico, me gustaría, en lo posible, que me explicara un poquito en un lenguaje para torpes como yo:

[quote]"Es un dropper que genera un nsecurity que viene a ser un BOT de IRC (variante de SDBOT)"[/quote]
Muchas gracias,

Mensaje por **msc hotline sat** » 05 Jul 2007, 14:43

Si, ya puse un acceso a una especie de diccionario para aclarar algunos de los vocablos usados en terminologia informatica

Aparte hay que considerar los siglas de palabras y reducción de nombres, como HJT para HiJackThis o BOT para roBOT o utilidad de control remoto, que puede ir junto con un prefijo (SDBOT, RBOT, GAOBOT, SPYBOT, etc) que se utilizan en la jerga informática, para acortar nombres o abreviarlos, y asi ganar tiempo.

Los que pregunta

Dropper : Generador de malwares
Bot : Robot de control remoto
IRC Internet Relay Chat <chateo en messenger y similares>
SDBOT : Bakdoor de IRC muy conocido (con unas 20.000 variantes)
El NTSECURITY es un malware creado por el GO.EXE

Entiendo que cada sector tiene su jerga, pero la de los informáticos es casi como la de los médicos !!!

Bueno, pues tras probar la utilidad indicada, nos postea el contenido del infosat.txt resultante, gracias

saludos
ms, 5-7-2007

Problemas con W32/Sdbot.worm.gen.ax

Problemas con W32/Sdbot.worm.gen.ax

Envio muestras

OK.

Re.