Virus que daña archivos y los convierte a jpge

[eday]

Hola...



En las horas de la madrugada estuve revisando correo, y encontre un mensaje de un amigo que me enviaba en archivos adjuntos un programa comprimido llamado "el proyecto de mi vida", como es de confianza lo ejecute, pero en realidad era que mi amigo, no tenia control de ese correo, y otra persona estaba enviando virus desde ahi... :cry:



Ahora un gran porcentaje de mis archivos se ha vuelto en formato jpge de imagen y no me deja hacer nada. le he pasado a la maquina el elistara y elirest pero nada... le he pasado el antivirus NOD32 y tampoco me detecta nada. estoy preocupado, porque manejo un servidor local, y los archivos de las bases de datos se han danado tambien.



Me dijeron que restaurara el sistema, y nada, deshice la restauracion y ahora no me aparece unos archivos.



Lo que mencione anteriormente que le pase al PC como el elistara, elirest, spy-bot, NOD32 ha sido con inicio normal, porque este equipo es un Portatil Toshiba, y no se como entrar en modo seguro con funciones de red. presiona F8 y no pasa nahh. :(



Si alguien me puede ayudar se lo agradezco.



Muchas Gracias.

[msc hotline sat]

Pues envianos alguno de estos ficheros que se han convertido a esta extension jpg (dices jpge pero supongo que son jpg...) y veremos si son ficheros renombrados, si son gusanos o qué son, y si con ellos podemos ver el virus que era, o lo que ha hecho, trataremos de buscar una solucion, pero si no lo detecta ningun antivirus... veremos lo que encontramos en ellos :roll:



Envianos tambien el fichero que te llegó por correo, pues este si que era el virus, y con él infectaremos una máquina y veremos lo que hace, para deshacerlo si es posible, pues a veces no hay marcha atrás.



Para enviar dichas muestras:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 3-1-2008

[eday]

Hola, hice lo que ud me indico, ya recoji algunos archivos dañados por el virus, y el virus tambien se lo envie al correo zonavirus@satinfo.es, la clave de los archivos comprimido es VIRUS



Gracias por todo espero respuesta Gracias.

[msc hotline sat]

Bien, pues veremos lo que nos llega y lo que se puede hacer al respecto.



saludos



ms, 4-1-2008

[msc hotline sat]

Recibido un RAR con dichos ficheros vemos que simplemente son ficheros de texto renombrados a JPG.



Abralos con el bloc de notas y renombrelos a TXT, BAT o lo que proceda, con boton derecho sobre el fichero y "CAMBIAR NOMBRE"



Por ejemplo el ultimo que se llama README.JPG, realmente es un README.TXT:




[quote] Apache HTTP Server



What is it?

-----------



The Apache HTTP Server is a powerful and flexible HTTP/1.1 compliant

web server. Originally designed as a replacement for the NCSA HTTP

Server, it has grown to be the most popular web server on the

Internet. As a project of the Apache Software Foundation, the

developers aim to collaboratively develop and maintain a robust,

commercial-grade, standards-based server with freely available

source code.



The Latest Version

------------------



Details of the latest version can be found on the Apache HTTP

server project page under <http://httpd.apache.org/>.



Documentation

-------------



The documentation available as of the date of this release is

included in HTML format in the docs/manual/ directory. The most

up-to-date documentation for the 2.2.x releases can be found at

<http://httpd.apache.org/docs-2.2/>.



Installation

------------



Please see the file called INSTALL. Platform specific notes can be

found in README.platforms.



Licensing

---------



Please see the file called LICENSE.



Contacts

--------



o If you want to be informed about new code releases, bug fixes,

security fixes, general news and information about the Apache server

subscribe to the apache-announce mailing list as described under

<http://httpd.apache.org/lists.html#http-announce>



o If you want freely available support for running Apache please join the

Apache user community by subscribing to Users Mailing List at

<http://httpd.apache.org/userslist.html> or one of the following

USENET newsgroups:

comp.infosystems.www.servers.unix

comp.infosystems.www.servers.ms-windows

Also available at:

<http://groups.google.com/groups?group=comp.infosystems.www.servers>



o If you want commercial support for running Apache please contact

one of the companies and contractors which are listed at

<http://www.apache.org/info/support.cgi>



o If you have a concrete bug report for Apache please go to the

Apache Group Bug Database and submit your report:

<http://httpd.apache.org/bug_report.html>



o If you want to participate in actively developing Apache please

subscribe to the `dev@httpd.apache.org' mailing list as described at

<http://httpd.apache.org/lists.html#http-dev>



Acknowledgments

----------------



We wish to acknowledge the following copyrighted works that

make up portions of the Apache software:



Portions of this software were developed at the National Center

for Supercomputing Applications (NCSA) at the University of

Illinois at Urbana-Champaign.



This software contains code derived from the RSA Data Security

Inc. MD5 Message-Digest Algorithm, including various

modifications by Spyglass Inc., Carnegie Mellon University, and

Bell Communications Research, Inc (Bellcore).



Regular expression support is provided by the PCRE library package, which

is open source software, written by Philip Hazel, and copyright by the

University of Cambridge, England. The original software is available from

ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/



Apache 2 relies heavily on the use of autoconf and libtool to provide

a build environment.[/quote]

y los primeros son BAT, de los que ademas vemos que nos adjunta tambien dicho BAT, por ejemplo el APACHE STOP.BAT:


[quote]@ECHO OFF



ECHO.

ECHO.

ECHO.

ECHO ############################################################

ECHO ## Apache 2.2 Daemon Can't Stop here ##

ECHO ## Please Close "Apache Start" Window to stop daemon ##

ECHO ############################################################

ECHO.

ECHO.

ECHO.

ECHO.

pause[/quote]



Mas que un virus ello es propio de una aplicaCion o de una malfuncion o uso incorrecto de windows, pero como ve es facil de solucionar



saludos



ms, 4-1-2008

[eday]

Hola, muchas gracias por todo...



Ahora pregunto, no habra un programa que vuelva a renombrar los archivos a como estaban antes?...porque no son solo los archivos que les envie... son mas de mil archivos, esos solo son una muestra, pero muchos archivos fueron convertidos y realmente no a todos les se la extension. se de algunos .exe, otros .php y .html pero son demasiados, tambien los archivos que residen en la carpeta de c:\\Windows.



Si hay algun programa que pueda hacer esto por favor me avisas o algo que me pueda devolver los archivos a como estaban antes... Ya probe con restaurar el sistema y nada...



Pero de todas maneras muchas gracias, al menos se que mis archivos no estan danados.



GRacias, Dios los bendiga!

[msc hotline sat]

Es cuestion de un poco de paciencia e ir haciendo...



Sí, los .BAT y los .TXT se les ve fácil, y a los demas prueba con .EXE, especialmente si al abrirlos con el bloc de notas ves en las primeras lines un MZ en mayusculas



Claro que tambien pueden ser DLL en tal caso, pero por lo menos sobre el 80 % los podrás recuperar.



No sabiendo ni siquiera lo que te lo ha hecho, menos algo para deshacerlo, si es que hubiera posibilidad automatica de ello...



No tengo constancia de que haya un virus que lo haga, ni de que haya sido ello, pues con una simple instruccion bajo DOS : "REN *.* *.jpg" , ya se consigue dicha modificación, por lo que tambien pudo ser alguien con acceso a este ordenador ...



En cualquier caso, si nos enteraramos de algo, te lo haríamos saber, pero ya con lo indicado damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 5-1-2008









NOTA: y te pediamos si podias enviarnos el fichero o mail con fichero que te envió tu amigo sobre "el proyecto de mi vida", porque igual no tiene nada que ver, o sí ??? Si lo tienes, envianoslo (ya sabes como) y lo analizaremos.

[msc hotline sat]

Recibida la muestra sospechosa, VirusTotal detecta:


[quote]File Mi_proyecto_de_vida.avi....exe received on 01.05.2008 00:18:56 (CET)

Current status: finished



Result: 6/32 (18.75%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 - - -

AntiVir - - HEUR/Crypted

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - PUA.Packed.Themida

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

FileAdvisor - - -

Fortinet - - -

F-Prot - - -

F-Secure - - -

Ikarus - - Generic.Sdbot

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32v2 - - -

Norman - - -

Panda - - -

Prevx1 - - -

Rising - - -

Sophos - - -

Sunbelt - - VIPRE.Suspicious

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - Packed/Themida

Webwasher-Gateway - - Heuristic.Crypted

Additional information

MD5: ce9bc097e73906fad6db1cb7dcf82725 [/quote]

solo 6 de 32, y alguno lo considera SDBOT... bueno, vamos a monitorizarlo a ver que pasa, y ya informaremos



saludos



ms, 7-1-2008

[msc hotline sat]

Recibida la muestra, efectivamente es la causante del estropicio !!!



Suerte que las monitorizamos en ordenadores que tras cada infeccion los restauramos con un Ghost inicial a lo original, porque nos lo ha desmadrado totalmente, como el tuyo...



Ademas modifica el registro deshabilitando el administrador de tareas, el editor de registro, y una clave que no habiamos visto modificaran hasta ahora, el "NO CLOSE", que se adivina lo que hace, todo lo cual lo pasamos a restaurar incluida la del RUN a un fichero "DOCUMENTO IMPORTANTE.EXE" de solo 1 byte !!! , y ello se implementa en la nueva version de hoy de nuestra utilidad



Y tambien genera un MICRO.BAT , MICRO2.BAT y MICRO3.BAT con renombres de los ficheros de todas las unidades, de C:, D: y hasta la Z respectivamente, los cuales se eliminan como ficheros complementarios



Pues buena pieza ha cazado, y que tanto estropicio y tiempo le ha hecho y le hará perder :roll:



Esta claro que es un gusano que se propaga por mail masivo, y muy nuevo, pues realmente no lo detecta casi nadie, y quien lo detecta no lo hace apropiadamente.



Como sea que la tecnica del renombre es total (a todos los ficheros que no esten protegidos o en uso), segun se ve en los BAT, a saber:



"[b][i]FOR /R C:\\ /D %%x in (*) DO REN "%%x\\"*.* *.jpg"[/i][/b]



no puede saberse la extension inicial de los ficheros, ya que lo hace con todos a *.jpg sin criterio para vuelta altras, asi que si bien eliminaremos el virus y las claves modificadas por el mismo y ficheros complementarios, el renombre de los .JPG a los ficheros originales deberá hacerse manualmente, si no se prefiere restaurar de un backup o copia de seguridad, que es lo mas aconsejable



Pues lo vamos a implementar en el ELISTARA 15.38 de hoy, para lo que pueda servir...



saludos



ms, 7-1-2008

[msc hotline sat]

Ya hemos subido a esta web la version 15.38 del ELISTARA que controla y elimina y restaura claves modificadas por este maldito malware :


[quote]ELISTARA



---v15.38-( 7 de Enero del 2008) (Muestras de Vundo9, DownLoader.ConHook "*****.DLL", (6)PWS-OnLineGames.NRE, Trojan.BHO.AGZ "CABINETO.DLL" y PUA.Packed.Themida "MI PROYECTO DE VIDA.AVI....EXE") [/quote]

Pruebelo pues aunque recupere los archivos volviendolos a renombrar, es importante restaurar las claves modificadas y eliminar ficheros malwares complementarios.



Pero por cierto, a su amigo, el que sin querer le envió el virus, no le pasó nada ???



Si es asi igual actua como otros tipo Netsky que como remitente usan uno de las direcciones que ha encontrado en el ordenador infectado, lo cual aun hace mas dificil saber su procedencia, pero cuentenos cual es el caso, ya que el virus al estar codificado con THEMIDA no puede desensamblarse para saber sus acciones.



Esperamos sus noticias



saludos



ms, 7-1-2008









NOTA:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

[eday]

Hola...





Ese virus "proyecto de vida" me ha dado muchos dolores de cabeza... ahora no me deja ejecutar nada, ni el elistara, solo me muestra un mensaje que Elistara ha sido modificado por un virus...



Ni el NOD32 funciona... he formateado instalando en otra particion, y nada... Quisiera formatear todo el disco completo pero no puedo ya que tengo mucha informacion en mi computador, entonces lo que hice fue crear una particion nueva e instalar de nuevo ahi... pero el virus se pasa, la verdad ya no se ni que hacer, me recomiendan algun antivirus que pueda detener este maldito virus...



Gracias..



P.D.: El amigo que me envio el virus no le paso nada, ya que el no tenia control de su msn, fue otra persona que de su msn.

[msc hotline sat]

Dice



[i]"P.D.: El amigo que me envio el virus no le paso nada, ya que el no tenia control de su msn, fue otra persona que de su msn"[/i]



Pues vigile sus contactos de MSN, porque alguno se lo envió...



Habiamos entendido que le había llegado por mail, cuando indicó:



"[i]En las horas de la madrugada estuve revisando correo, y encontre un mensaje de un amigo que me enviaba en archivos adjuntos un programa comprimido llamado "el proyecto de mi vida", como es de confianza lo ejecute, pero en realidad era que mi amigo, no tenia control de ese correo, y otra persona estaba enviando virus desde ahi...[/i]"



no por MSN !!!



aclare este punto ya que es muy importante para su control. Hemos apuntado hacia virus masivo por e-mail y si es por MSN,, es de IRC, como muchos SDBOT, totalmente diferente !



La verdad es que nadie detecta apropiadamente dicho virus, y empezamos a pensar si no fue una gamberrada exprofeso a su ordenador, pues no ha habido mas casos en internet ???



Los antivirus solo detectan heuristicamente que está protegido con Themida, pero ninguno lo controla. Solo el ELISTARA ,desde que analizamos la muestra y eliminamos claves y ficheros malware que crea, pero ya le dijimos que el resto (renombrados) había que restaurarlos a mano.



Aqui (no es dia laborable y estoy en casa) no tengo el fichero que nos envió de muestra, pero Vd que los tiene, suba uno al VirusTotal https://www.virustotal.com/es/ y posteenos el resultado (con un copiar y pegar, como hice yo en su dia) a ver si algun antivirus que recibió la muestra que se les envió, ha implementado su control y eliminaicon en nuevas versiones, lo cual veremos reflejado allí y obraremos en consecuencia



saludos



ms, 12-01-2008

[msc hotline sat]

Y esto que dice de "[i]solo me muestra un mensaje que Elistara ha sido modificado por un virus... [/i]" no es propio de este virus, ya que eso pasa cuando el ELISTARA es modificado y el checksum que ponemos para comprobacion de integridad ha detectado que ha sido modificado, lo cual no hace este bicho !!!



Descargue el ultimo ELISTARA, lo copia a esta máquina, lo ejecuta, y si le sigue dando este mensaje, envienos este fichero ELISTARA, ya que posiblemente ha sido infectado por un virus que tenemos que analizar para ver lo que es...



Igual recibió algo mas, que está infectando ficheros ejecutables, no solo renombrando la extension, sino insertando su código en el interior de dichos ficheros.



y ademas de enviarnoslo como ya sabe, subalo al VirusTotal tambien, a ver si ya lo detecta alguien ??? y nos lo postea, gracias



saludos



ms, 12-01-2008

[eday]

Hola..



Aclaro, el virus me llego por Correo electronico (si no que le digo al correo de hotmail msn, pero ya se a la proxima), no solo me lo enviaron a mi, muchas personas tambien cayeron, fueros mas de 30 personas...





Pues hice lo del VirusTotal, y tambien ha salido con pocos antivirus, entonces lo que hice fue instalar un antivirus de los que si lo detectan segun VirusTotal, (instale el Antivir AVIRA), y en efecto me ha ido bien... Ademas eso dañaba los ejecutables, y el ANTIVIR los elimino, pero antes tuve que hacer una particion e instalar WINDOWS en la nueva particion y ejecutar todo desde alli, ya que en donde reside el VIRUS es muy dificil controlar.. Como dice Vd queda totalmente desmadrado...



Con respecto al Elistara ya me lo descargue otra vez, y si me sirvio...



Gracias

[msc hotline sat]

Lastima que no nos enviara el infectado, pues hubiera servido para controlar la modificacion de los EXE. Si sabe de alguien que aun le pase, mire de conseguir un EXE, con extension EXE, modificado, como era su caso, y nos lo envia como muestra para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Pues para ser un virus de mail masivo, no ha habido incidencias ni en el foro ni en Internet...



De todas formas nos alegramos que lo solucionara, a pesar de que es un mal bicho y que el estropicio que causa es grande, cuando menos, de perdida de tiempo...



Dejamos el Tema abierto para que nos pueda decir algo mas si lo sabe o si consigue algun fichero EXE infectado, pues para nosotros aun es asignatura pendiente al no controlar estos ficheros que no conocemos por falta de muestra (si es que es del mismo virus)



Una pregunta: El analisis del VirusTotal, si lo guardó, nos lo puede postear, o si sabe el nombre del virus que detectaba AVIRA en la muestra que les subió, pues el que Vd envio era gusano (no infector) y lo detectaba heuristicamente como



AntiVir - - HEUR/Crypted



y eso solo es una deteccion generica de un fichero protegido con Themida.



A ver si podemos saber y tener algo mas...



saludos



ms, 13-01-2008

[jmci_20@hotmail.com]

Hola. Soy nuevo en el foro, Tengo el mismo problema, seguí algunos de sus pasos y he podido avanzar un poco, aunque aun no lo soluciono.

Bueno, lo que me pasaba era que no podía entrar ni siquiera al internet (porque el virus lo convirtió en .jpg) entonces, cuando iniciaba la computadora lo único que funcionaba bien es el Windows Live Messenger, y me acorde que de ahí mediante la bandeja de entrada de hotmail se puede entrar a Internet, y SI SE PUEDE! de ahí partí para descargar el antivirus Elistara, lo ejecute y encontró 3 archivos infectados, de ahí descargue el Nod32 y lo ejecute y encontro 1 archivo infectado. Después seguí los pasos para que se vean todos los archivos del sistema etc... pero no encuentro el archivo que según esto es el virus, y tampoco se como convertir los archivos a lo que eran antes.

si alguien me pudiera explicar como hacerle, dejo a su disposición mi msn:



<interceptado>



tips: para entrar al símbolo del sistema en windows 7: en la barra de buscar pon: cmd.exe y es la primera opción ;)



Gracias...

[msc hotline sat]

[size=150][u][b]INTERVENCION DE ZONAVIRUS: [/b][/u][/size]



Ha incumplido varias Normas del foro:



Ha escrito sobre un Tema con 6 meses de antigüedad:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382



Ha posteado links privados:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



Incluso su nick es una direccion de correo !





Se cierra en consecuencia.



Empiece por registrarse de nuevo con un nick neutro y abra un Tema nuevo al respecto de su problema.



Si reincide en inclumplimiento de Normas, sera excluido del foro.



Se cierra el Tema en consecuencia. [img]http://img138.imageshack.us/img138/4893/closed2ur0.gif[/img]