VenoM.666, NTDETECT.COM y 80avp08.com

[Web home]

Pues tengo un problema con estos tres virus:



NTDETECT.COM y 80avp08.com: Creo que estos dos son variantes del virus ntde1ect.com y hacen exactamente lo mismo solo que al tener nombres distintos el ElistarA no los elimina. Lo que hacen es ocultar los archivos ocultos y las extenciones de archivos. Tienen un autorun en cada unidad o particion del disco duro y en las memorias USB.



VenoM.666: Pues este es el virus mas agresivo de todos ya que elimina archivos del SO y lo deja inservible.

Primero deshabilita las Opciones de carpeta del menu herramientas (simplemente quita esa opcion) y deshabilita el Administrador de tareas (pero restaurando el registro se arregla). Crea archivos ejecutables con nombres de carpetas existentes y uno con el nombre del usuario de la maquina y les pone el icono de carpeta. Depues de cierto tiempo muestra una ventana con una cuenta regresiva de un minuto y medio explicando que el equipo se apagara y un mensaje al final que dice "Welcome to Hell" y mientras ese tiempo transcurre la bocina interna de la maquina empieza a hacer ruido. Creo que el archivo del sistema que borra es uno que se llama hall.dll.



Les mando el resultado del ElistarA:





Wed Jan 02 10:25:39 2008

EliStartPage v15.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.34

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Entrada Eliminada [HKLM\...\Run] "Trickler"=""c:\documents and settings\webhome\configuración local\temp\gain_trickler_3202.exe""

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 02 10:26:24 2008

EliStartPage v15.34 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4978

Nº Total de Ficheros: 45732

Nº de Ficheros Analizados: 18001

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jan 02 17:12:14 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 02 17:13:32 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 645

Nº Total de Ficheros: 5613

Nº de Ficheros Analizados: 1973

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Wed Jan 02 17:49:02 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 02 18:42:52 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Jan 02 18:43:06 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5065

Nº Total de Ficheros: 47055

Nº de Ficheros Analizados: 18015

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jan 02 18:50:31 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 69

Nº Total de Ficheros: 188

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Jan 02 18:50:37 2008

EliStartPage v15.35 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 19

Nº Total de Ficheros: 79

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues ya ve que se le pide que envie muestras,




[quote]
Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.34





Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.34





Detectado AUTORUN.INF en la Unidad (C)

open=semo2x.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



(los demas AUTORUN de otras unidades llaman a lo mismo)[/quote]

y por supuesto, envienos tambien estos que dice haber detectado no controlados:


[quote]NTDETECT.COM y 80avp08.com y el del C:\VenoM.666\EXPLORER.EXE [/quote]

asi mismo mire si tiene y si es asi nos los envia tambien, los siguientes:



C:\windows\system32\hal.dll



C:\windows\System\winlogon.exe (ojo no es de system32 !)



C:\Documents and settings\<usuario>\Datos de programa\smss.exe"



C:\Documents and settings\<usuario>\Menú Inicio\Programas\Inicio\MS-DOS.pif"



C:\Documents and settings\<usuario>\Menú Inicio\Programas\Inicio\System.exe"



C:\windows\system32\Docume~1\%USERNAME%\Menú Inicio\Programas\Inicio\desktop.*"



C:\Documents and settings\<usuario>\SendTo\Mis documentos.exe"



C:\Documents and settings\<usuario>\SendTo\Disco extraible.pif"



C:\Documents and settings\<usuario>\SendTo\Documentos compartidos.scr"



C:\windows\system32\WINDOWS.EXE"



C:\windows\system32\%username% 3D.scr"



C:\Documents and settings\<usuario>\Menú Inicio\Mis documentos.exe"



C:\Documents and settings\<usuario>\Datosd~1\Microsoft\Internet Explorer\Quick Launch\Mis documentos.exe"



C:\Documents and settings\<usuario>\Datos de programa\services.exe"

Documents and settings\<usuario>\Datos de programa\lsass.exe"



C:\Documents and settings\<usuario>\Datos de programa\smss.exe



C:\Documents and settings\<usuario>\Datos de programa\services.exe %APPDATA%\winlogon.exe



C:\Documents and settings\<usuario>\Datos de programa\Menú Inicio\Programas\Inicio\VenoM.*



C:\Documents and settings\<usuario>\NTUSER.DAT.DLL





y con un Inicio -> Buscar, mira si tienes el CTFMON.EXE y si no tienes instalado el OFFICE, envianoslo tambien.





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Tras recibirlos los analizaremos e informaremos al respecto





saludos



ms, 3-1-2008

[Web home]

Pues creo que el Kaspersky elimino el semo2x.exe incluyendo a las muestras :? pero dejo el autorun.inf y este es el contenido:



;2AJ34dok1LSs37aao2rf0D33a2wle2qqeil1Kks5dad09Kj0soIifAiKdrA2355iidq67aSK23jiAfjSLrq3m192DLss5J4liaK40cekfqwkkJ0

[AutoRun]

;4reswSL0s33swd4JiLssCkwk1i2o1sskK0w2a40LKkakw3Ak375aDcjJla9KKqaD5w

open=semo2x.exe

;ADKlk1Aec9rl427qDLJps7j5KJk9DA2kr7k0w3d5

shell\open\Command=semo2x.exe

;f2l02jwsk14iLwJaqDDsaJnC0r2mwJo4i0rf4cDw1rjFS4DKwqAojK3owA

shell\open\Default=1

;dSJ67sLsaDapr3s9a44kelDrJAerir547U4K35arkjlwF1kieLI2fkADws3iiw0092AjKkk4rsKai0ws73HcKeiidl5Dd04qfijKq

shell\explore\Command=semo2x.exe

;LK5Jaodljo9JisDdkelkJjcHdaw5453o3K2LarraDlDsiKiae4UAkZK4Knmqfr00sk4idd3sqjw2s0kq4waea1raJ2kpZl3Dsa



Y el VenoM.666 no lo e encontrado, solo el autorun.inf y este es el contenido:



[autorun]

open=VenoM.666\Explorer.exe

shell\Open=

shell\Open\Command=.\VenoM.666\Explorer.exe

shell\Explore\=

shell\Explore\Command=.\VenoM.666\Explorer.exe

shell\find\=

shell\find\Command=.\VenoM.666\Explorer.exe

shell\CMD=Sïmbolo del sistema

shell\CMD\Command=.\VenoM.666\Explorer.exe

shell\CMD=Sïmbolo del sistema

shell\CMD\Command=.\VenoM.666\Explorer.exe



Lo seguire buscando por que de ese me quiero deshacer por que ya e tenido que formatear como 15 computadoras por que una vez que la apaga ya no vuelve a prender :shock: bueno si prende pero no carga el SO

[msc hotline sat]

Pues sin las muestras solicitadas, nada podremos analizar ni implementar en nuestras utilidades.



Pero si las encuentra en otro ordenador envienoslas, y asi podrá probar el ELISTARA que lo controle.



saludos



ms, 3-1-2008

[Web home]

Bueno, ya les envie las muetras de VenoM.666 y de semo2x.exe. A ver que encuentran. Gracias :D

[msc hotline sat]

Lo acabamos de recibir. Se entra en proceso con prioridad de urgencia, informaremos al respecto.



ms.

[msc hotline sat]

Terminado el analisis resulta ser un troyano cuya ejecucion lanza un shutdown (-r -f -t 00) de 120 segundos, y altera el sistema de forma que en el siguiente reinicio encuentra a faltar el fichero HAL.DLL entre otras cosas.



Dado la falta de envio del resto de ficheros pedidos, pasamos a controlar por cadenas los dos enviados, y ficheros complementarios que crea, VBS, BAT, PIF, etc, lo cual se hace a partir de la version 15.36 del ELISTARA de hoy, que podrá descargarse de esta web a partir de las 19 h GMT



Este virus tambien propaga por AUTORUN.INF lanzando un WINLOGON.EXE , infectando los pendrives y demas unidades compartidas, lo que tambien pasamos a controlar.



saludos



ms, 3-12-2008

[msc hotline sat]

Y habiendo dado problemas al reiniciar indicando que no encontraba el fichero HAL.DLL, en uno de los dos equipos de monitorizacion, (el de configuracion de hardware del equipo), anexo documantacion de technet de mricrosoft al respecto de recuperacion de dicho fichero, por si fuera necesario:


[quote]Recuperación del fichero hal.dll



. Desde la consola de reparación del sistema:

(Este método solo funciona en Windows XP o 2003)

· Arrancar la máquina con el cd de instalación del sistema.

· Iniciar la consola de reparación siguiendo las instrucciones en pantalla para tal fin.

· Escribir: attrib -R-H-S C:\boot.ini.

· Escribir: del C:\boot.ini

· Escribir: bootcfg /rebuild

· Escribir: fixboot

· Tras reiniciar el sistema todo debería haber vuelto a la normalidad



2. Desde otra máquina:

· Desmontar el disco con el sistema dañado y montarlo como esclavo en otra máquina con sistema operativo Windows 2000 o superior.

· Arrancar el sistema de la máquina anfitrión y permitir al sistema anfitrión realizar todos los procesos de detección necesarios.

· Reiniciar el sistema anfitrión.

· Una vez reiniciado, activar la opción de ver archivos ocultos y de sistema.

· Con el explrador de archivos, localizar la carpeta E:\Windows\ServicePackFiles\i386 si estamos reparando un Windows XP o E:\Winnt\ServicePackFiles\i386 si estamos reparando un Windows 2000.

· Copiar el archivo hal.dll que se encuentra allí a la carpeta E:\Windows\System32 o E:\Winnt\System32. Si pregunta por sobreescribir, responder que si.

· Apagar el sistema anfitrión

· Desmontar el disco esclavo.

· Reinstalarlo como maestro en su computadora de origen.

· Reiniciar el sistema.



3. Desde la misma máquina pero con otro sistema operativo instalado:

· El otro sistema operativo debe poder leer sistemas de archivos NTFS modernos, por lo que debe ser, al menos, Windows 2000.

· Arrancar el segundo sistema de la máquina.

· Una vez iniciado, activar la opción de ver archivos ocultos y de sistema.

· Con el explrador de archivos, localizar la carpeta C:\WINDOWS\ServicePackFiles\i386 si estamos reparando un Windows XP o C:\WINNT\ServicePackFiles\i386 si estamos reparando un Windows 2000.

· Copiar el archivo hal.dll que se encuentra allí a la carpeta C:\WINDOWS\System32 o C:\WINNT\System32. Si pregunta por sobreescribir, responder que si.

· Reiniciar el sistema.



4. Copiando el archivo desde el cd de instalación original:

· Arrancar la máquina con el cd de instalación del sistema.

· Iniciar la consola de reparación siguiendo las instrucciones en pantalla para tal fin.

· Escribir: type C:\Windows\Repair\Setup.log si es un sistema Windows XP o C:\Winnt\Repair\Setup.log si es un sistema Windows 2000.

· Buscar la línea que contenga hal.dll, debe ser una línea similar a esta: \Windows\system32\ hal.dll="halacpi.dll","1d8a1".

· Copiar en un papel el nombre del archivo que aparece a la derecha del signo de igualdad. Nos refriremos a este archivo en las iguientes líneas como ArchivoHal.

· Escribir: attrib -R-H-S C:\Windows\System32\hal.dll si es un sistema Windows XP o attrib -R -H -S C:\Winnt\System32\hal.dll si es un sistema con Windows 2000. Si el archivo en efecto ha desaparecido del sistema aparecerá un mensaje de error advirtiéndonos de tal situación.

· Escribir: del C:\Windows\System32\hal.dll si es un sistema Windows XP o del C:\Winnt\System32\hal.dll si es un sistema con Windows 2000. Si el archivo en efecto ha desaparecido del sistema aparecerá un mensaje de error advirtiéndonos de tal situación.

· Escribir: expand ArchivoHal /F:D:\I386\Driver.cab C:\Windows\System32\hal.dll /Y si es un sistema Windows XP o expand ArchivoHal /F:D:\I386\Driver.cab C:\Winnt\System32\hal.dll /Y si es un sistema con Windows 2000.

· Escribir: ren C:\Windows\System32\ArchivoHal C:\Windows\System32\hal.dll si es un sistema Windows XP o ren C:\Winnt\System32\ArchivoHal C:\Winnt\System32\hal.dll si es un sistema con Windows 2000.

o Si al tratar de renombrar el archivo nos pregunta por sobreescribir uno existente, responder que si.

o Si no se puede sobreescribir el archivo existente, escribir: del C:\Windows\System32\hal.dll si es un sistema Windows XP o del C:\Winnt\System32\hal.dll si es un sistema con Windows 2000 y reintentar el paso anterior.

· Reiniciar el sistema.[/quote]

Aunque nosotros empleamos un Ghost inciial tras monitorizar un virus para proceder con el siguiente, dejando el ordenador para proceder con un antes y un despues tras infectarlo con el siguiente.



Y al no tener este virus completo, solo tratamos los ficheros enviados y los que ellos han generado, sin poder tratarlo mas a fondo por falta de poder examinar los ficheros que no nos han enviado.



De todas formas, puede ser un virus conflictivo, pues uno de los dos ordenadores (los dos XP) no reciniciaba y el otro sí ???



Tras lo indicado dejamos este virus pendiente de recibir mas ficheros con los que analizarlo totalmente.



saludos



ms, 3-1-2008

[Web home]

Mas ficheros del VenoM?

Pues si es asi creo que eso es todo lo que hace, crear la carpeta VenoM.666 y los archivos ejecutables con nombres de carpeta existentes y el ejecutable con el nombre del usuario como el que les mande que decia 100% webhome.exe.

O a que ficheros se refieren?

Los de los demas virus como el 80avp08.com y el NTDETECT.COM se los envio hoy.

Gracias por la ayuda. :D

[msc hotline sat]

Pues ya hemos subido el ELISTARA correspondiente (15.36) , pruebalo y nos informas:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]





y las demas muestras se analizaran y se informará del resultado.



saludos



ms, 3-1-2008



NOTA: De todas formas hoy hemos ido muy apretados de trabajo y no se han podido terminar los analisis, mañana seguiremos ... Prueba tambien el ELISTARA de mañana.

[Web home]

Acabo de enviarles dos muetras mas, gracias por la ayuda :wink:



Espero su respuesta :D

[msc hotline sat]

Pues veremos lo que son y procederemos.



saludos



ms, 4-1-2008

[msc hotline sat]

Estan todas sus muestras en proceso y con el ELISTARA 15.37 de hoy se controlaran



Compruebelo y nos informa del resultado, posteandonos el contenido del c:\infosat.txt



saludos



ms, 4-1-2008

[Web home]

Les acabo de enviar otra muestra pero la verdad no se si sea un virus por que en algunas paginas me dicen que es un archivo del sistema y en otras me dicen que es un virus :roll: .

Pero para estar seguros mejor se las envie y a ver que es :wink: .



Gracias :D

[msc hotline sat]

Lo veremos el lunes, cuando volvamos al trabajo en SATINFO, pero mientras puedes subirlo al Virus Total y saldrás de dudas:



https://www.virustotal.com/es/





y nos comentas el resultado del analisis, gracias



saludos



ms, 5-1-2008

[Web home]

Pues al parecer no es un virus por que ningun antivirus lo identifico como tal. Les dejo el resultado:



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.1.5.11 2008.01.05 -

AntiVir 7.6.0.46 2008.01.04 -

Authentium 4.93.8 2008.01.04 -

Avast 4.7.1098.0 2008.01.04 -

AVG 7.5.0.516 2008.01.05 -

BitDefender 7.2 2008.01.05 -

CAT-QuickHeal 9.00 2008.01.05 -

ClamAV 0.91.2 2008.01.05 -

DrWeb 4.44.0.09170 2008.01.05 -

eSafe 7.0.15.0 2008.01.03 -

eTrust-Vet 31.3.5432 2008.01.04 -

Ewido 4.0 2008.01.05 -

FileAdvisor 1 2008.01.05 -

Fortinet 3.14.0.0 2008.01.05 -

F-Prot 4.4.2.54 2008.01.04 -

F-Secure 6.70.13030.0 2008.01.04 -

Ikarus T3.1.1.15 2008.01.05 -

Kaspersky 7.0.0.125 2008.01.05 -

McAfee 5200 2008.01.04 -

Microsoft 1.3109 2008.01.05 -

NOD32v2 2766 2008.01.04 -

Norman 5.80.02 2008.01.04 -

Panda 9.0.0.4 2008.01.05 -

Prevx1 V2 2008.01.05 -

Rising 20.25.52.00 2008.01.05 -

Sophos 4.24.0 2008.01.05 -

Sunbelt 2.2.907.0 2008.01.05 -

Symantec 10 2008.01.05 -

TheHacker 6.2.9.180 2008.01.04 -

VBA32 3.12.2.5 2008.01.02 -

VirusBuster 4.3.26:9 2008.01.05 -

Webwasher-Gateway 6.6.2 2008.01.04 -



Información adicional

Tamano archivo: 47564 bytes

MD5: b2de3452de03674c6cec68b8c8ce7c78

SHA1: 6caaff4d8a162bb1080036ce1a6d023aecda36c3

PEiD: -



Gracias por la ayuda :wink:

[msc hotline sat]

Es muy poco probable que sea malware, a la vista del resultado de virustotal...



Pero estamos pendientes de que nos postee el contenido del c:\infosat.txt:


[quote="msc"]Estan todas sus muestras en proceso y con el ELISTARA 15.37 de hoy se controlaran



Compruebelo y nos informa del resultado, posteandonos el contenido del c:\infosat.txt



saludos



ms, 4-1-2008[/quote]



Trabajamos mucho el viernes en ello y deseamos ver los resultados...



saludos



ms, 6-1-2008







NOTA: y siempre que se prueba una nueva version de evaluacion, en contrapartida se pide que se postee el c:\infosat.txt para ver el resultado del proceso. ms.

[msc hotline sat]

Analizado el fichero NTDETECT.COM recibido resulta ser del sistema operativo...



Seguimos pendientes de que nos postee el contenido de c:\infosat.txt , gracias



saludos



ms, 7-1-2008