Muestras ElistarA en teléfono (SOLUCIONADO)

HellMonkey · Mensaje por **HellMonkey** » 16 Oct 2007, 03:16

Hola de nuevo. Al conectar mi teléfono celular a la laptop, Avast me detectó un archivo "Long.exe" con su respectivo Autorun tanto en la memoria del teléfono como en el Memory Stick. Elistara no detectó nada en ninguna unidad, y Avast no pudo eliminar tal archivo. He enviado las muestras (la de cada unidad) y espero análisis.

Saludos!

Mensaje por **msc hotline sat** » 16 Oct 2007, 06:19

Pues cuando lo recibamos, lo analizaremos e informaremos

Si el pendrive tiene AUTORUN.INF cargando dicho Long.exe, seguro que será una nueva variante de virus, pero el ELISTARA deberia haberlo visto...

Posteanos el contenido de c:\infosat.txt, con un copiar y pegar, como respuesta a este Tema, gracias

saludos

ms, 16-10-2007

HellMonkey · Mensaje por **HellMonkey** » 16 Oct 2007, 14:21

Mon Oct 15 19:51:01 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\AUTORUN.INF --> Eliminado, AutoRun.HT(inf)

Mon Oct 15 19:51:09 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Solamente eliminó el AUTORUN de la memory stick, pero en la otra unidad sigue ahí.

Y sí, ambos autoruns abren su Long.exe

Mensaje por **msc hotline sat** » 16 Oct 2007, 15:36

La unidad G: se exploró y se eliminó el AUTORUN.INF que llama al LONG.EXE, pero no veo que se explorara otra unidad, a no ser la H, en la que no detectó ningun AUTORUN.INF, se refiere a esto ???

Por otro lado el LONG.EXE pasaremos a controlarlo hoy con el ELISTARA gracias a la muestra enviada, pues ya un analisis superficial con el VirusTotal nos indica que es malware, luego ya lo analizaremos y controlaremos en la proxima version del ELISTARA:

[quote="VirustOTAL"]
File Long.exe

Antivirus Version Last Update Result

AhnLab-V3 2007.10.16.2 2007.10.16 -

AntiVir 7.6.0.23 2007.10.16 TR/Dldr.AutoRun.B.2

Authentium 4.93.8 2007.10.14 -

Avast 4.7.1051.0 2007.10.15 Win32:Agent-MEZ

AVG 7.5.0.488 2007.10.15 VB.AIA

BitDefender 7.2 2007.10.16 Dropped:Generic.Malware.Bdld.5DD97072

CAT-QuickHeal 9.00 2007.10.15 -

ClamAV 0.91.2 2007.10.14 -

DrWeb 4.44.0.09170 2007.10.16 Win32.HLLW.Autoruner.462

eSafe 7.0.15.0 2007.10.15 Virus.Win32.AutoRun.

eTrust-Vet 31.2.5214 2007.10.16 -

Ewido 4.0 2007.10.15 -

FileAdvisor 1 2007.10.16 High threat detected

Fortinet 3.11.0.0 2007.10.16 W32/AutoRun.HT

F-Prot 4.3.2.48 2007.10.15 -

F-Secure 6.70.13030.0 2007.10.16 Virus.Win32.AutoRun.ht

Ikarus T3.1.1.12 2007.10.16 Virus.Win32.AutoRun.ht

Kaspersky 7.0.0.125 2007.10.16 Virus.Win32.AutoRun.ht

McAfee 5141 2007.10.15 W32/Autorun.worm.i.gen

Microsoft 1.2908 2007.10.16 -

NOD32v2 2593 2007.10.16 probably unknown NewHeur_PE virus

Norman 5.80.02 2007.10.15 -

Panda 9.0.0.4 2007.10.16 Trj/Lineage.FIQ

Prevx1 V2 2007.10.16 -

Rising 19.45.11.00 2007.10.16 Trojan.Win32.VB.xkc

Sophos 4.22.0 2007.10.16 Mal/Emogen-F

Sunbelt 2.2.907.0 2007.10.16 -

Symantec 10 2007.10.16 W32.SillyDC

TheHacker 6.2.8.093 2007.10.16 Trojan/Dropper.HT

VBA32 3.12.2.4 2007.10.15 Virus.Win32.AutoRun.ht

VirusBuster 4.3.26:9 2007.10.15 -

Webwasher-Gateway 6.6.1 2007.10.16 Trojan.Dldr.AutoRun.B.2

Additional information

File size: 12288 bytes

MD5: af31586c306560086664ddfc089813a4

SHA1: c9cdf2eecbe7aa57c9826d7cde39f5b86dcf063f

packers: UPX

packers: UPX

Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=af31586c306560086664ddfc089813a4

packers: UPX

packers: PE_Patch.UPX, UPX [/quote]

Pero diganos a qué otra unidad se refería, y en todo caso explorela con el ELISTARA.

saludos

ms, 16-10-2007

Mensaje por **msc hotline sat** » 16 Oct 2007, 15:55

Comentando la rareza de lo indicado, creemos que el telefono no es una unidad pura, sino una carpeta asignada como unidad, y los AUTORUN solo se buscan en el raiz de las unidades exploradas, no en carpetas, supongo que por ahí van los tiros.

Nuestras utilidades estan hechas para ordenadores, no para telefonos, y esta posibilidad es una suposicion, pero en cualquier caso sería una explicacion.

saludos

ms, 1-10-2007

HellMonkey · Mensaje por **HellMonkey** » 16 Oct 2007, 16:11

El teléfono crea dos unidades, una es la memory Stick (G), y la otra es F o H dependiendo del puerto. Cuando tenga el cable USB explorare de nuevo.

Mensaje por **msc hotline sat** » 16 Oct 2007, 16:12

Comprobado, las unidades de telefono no son accesibles normalmente sino a traves de Active Sync, como unidades virtuales, luego no las vamos a controlar con nuestras utilidades, que son para unidades normales.

Aparte proximamente controlaremos el LONG.EXE indicado, intentaremos incluirlo en el ELISTARA de hoy, pero está en cola ...

saludos

ms, 16-10-2007

HellMonkey · Mensaje por **HellMonkey** » 16 Oct 2007, 16:56

Activando mostrar archivos de sistema, Avast ha podido eliminar dichos archivos, pero los he respaldado en el disco duro con extensión .VIR para ver si lo elimina el siguiente Elistara

Mensaje por **msc hotline sat** » 16 Oct 2007, 17:02

Sí, en unidades convencionales el de hoy o mañana lo hará, pero no el del telefono...

No sé si podremos hoy, pero lo intentaremos...

saludos

ms, 16-10-2007

HellMonkey · Mensaje por **HellMonkey** » 17 Oct 2007, 04:59

Analizado el disco C con Elistara 14.83, y no encontró nada.

Tue Oct 16 13:22:08 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Tue Oct 16 13:22:10 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 17 Oct 2007, 06:51

Ayer ya debías haber probado el ELISTARA 14.84, pero es igual, tampoco hubo tiempo para incluir el control del LONG.EXE, veremos si hoy podemos, espero que sí pues ya debe estar en los primeros puestos de la cola.

Hoy por la tarde (pasadas las 19 h GMT), descarga el ELISTARA 14.85, pruebalo y posteanos el infosat.txt

saludos

ms, 17-10-2007

Mensaje por **msc hotline sat** » 17 Oct 2007, 13:02

Sí, se controlaba el AUTORUN pero para otra variante con el UFO.EXE.

Este LONG.EXE es una nueva variante que pasamos a controlar a partir de la 14.85 del ELISTARA de hoy

Cuidado con los pendrives, ya que puede propagarse a traves de ellos.

saludos

ms, 17-10-2007

Mensaje por **msc hotline sat** » 17 Oct 2007, 13:37

Y analizado el comportamiento de la muestra, creemos que ya debía haberse solicitado envio de muestras en la accion directa del ELISTARA, que no fue posteado, (solo se posteó la accion por EXPLORACION), por lo que le pedimos el INFOSAT.TXT completo y si tal como creemos se pedia envio de muestras, y que ademas puede ser con otro nombre, enviarlas, ademas de postearnos dicho infosat.txt COMPLETO , como siempre debe hacerse.

saludos

ms, 17-10-2007

HellMonkey · Mensaje por **HellMonkey** » 17 Oct 2007, 15:32

14.84 no halló nada. Ni en C: ni en la otra partción E

Wed Oct 17 07:25:55 2007

EliStartPage v14.84 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 17 07:25:59 2007

EliStartPage v14.84 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5514

Nº Total de Ficheros: 60377

Nº de Ficheros Analizados: 23019

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Wed Oct 17 07:37:02 2007

EliStartPage v14.84 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 334

Nº Total de Ficheros: 2769

Nº de Ficheros Analizados: 245

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 17 Oct 2007, 15:37

Esta es de ahora !

Necesitamos la correspondiente a la que hizo en

Mon Oct 15 19:51:01 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

El fichero infosat.txt es acumulativo y no debe borrarse, pues asi podemos seguir y entender el comportamiento de muchos malwares, sus acciones, regeneraciones, etc

Normalmente vale con lo ultimo, pero cuando se requiere como ahora, necesitariamos el de entonces, cuando exploró y le detecto el AUTORUN, pero y la accion directa ??? siempre sale antes el report de la accion directa que el de la exploracion, y no nos lo posteó

Si no lo encuentra porque lo borró, es una pena, pero nos basaremos en lo que nos indica, sin poder conocer ni controlar lo que posiblemente se indicaba entonces...

saludos

ms, 17-10-2007

HellMonkey · Mensaje por **HellMonkey** » 17 Oct 2007, 15:55

Mon Oct 15 19:50:57 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Oct 15 19:51:01 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\AUTORUN.INF --> Eliminado, AutoRun.HT(inf)

Mon Oct 15 19:51:09 2007

EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

Mensaje por **msc hotline sat** » 17 Oct 2007, 16:29

Muchas gracias !

Eso es lo que necesitabamos, y parece ser que el ordenador no estaba infectado entonces, y solo lo estaba la palm, en la que se detectó el AUTORUN, pero posiblemente el EXE no era ejecutable en el sistema de la palm y por eso no se propagó

Entonces vamos a controlar este LONG.EXE en los PC, que es lo que nos interesa, y esta misma tarde quedará controlado en el ELISTARA de hoy 14.85

saludos

ms, 17-10-2007

HellMonkey · Mensaje por **HellMonkey** » 17 Oct 2007, 16:44

Muy bien, esperaré a la nueva versión. Gracias.

Mensaje por **msc hotline sat** » 17 Oct 2007, 18:18

Ya la tienes en la web. Pruebala y nos posteas el nuevo infosat.txt, gracias

saludos

ms, 17-10-2007

Nota: Pruebala incluso explorando las unidades palm y telefono, a ver ...??? ms.

HellMonkey · Mensaje por **HellMonkey** » 17 Oct 2007, 21:18

Muy bien, hasta que llegue a casa exploraré.

Saludos

HellMonkey · Mensaje por **HellMonkey** » 18 Oct 2007, 00:41

Wed Oct 17 15:55:06 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 17 15:55:08 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras Virus\LONG.EXE --> Eliminado, AutoRun.HT

Nº Total de Directorios: 5516

Nº Total de Ficheros: 60463

Nº de Ficheros Analizados: 23024

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Oct 17 16:05:16 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 17 16:05:21 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\LONG.EXE.VIR --> Eliminado, AutoRun.HT

H:\LONG 2.EXE.VIR --> Eliminado, AutoRun.HT

Nº Total de Directorios: 43

Nº Total de Ficheros: 673

Nº de Ficheros Analizados: 46

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Wed Oct 17 17:38:51 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 17 17:38:58 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\AUTORUN.INF --> Eliminado, AutoRun.HT(inf)

F:\LONG.EXE --> Eliminado, AutoRun.HT

Nº Total de Directorios: 23

Nº Total de Ficheros: 10

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Wed Oct 17 17:39:04 2007

EliStartPage v14.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\LONG.EXE --> Eliminado, AutoRun.HT

Nº Total de Directorios: 24

Nº Total de Ficheros: 134

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Parece que después de todo funcionó hasta en las dos memorias de mi teléfono (F y G), y en otro pendrive infectado (H) :wink:

Mensaje por **msc hotline sat** » 18 Oct 2007, 06:39

Pues mejor que mejor !, lo celebramos, y ya dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 18-10-2007