Troyano "Win32/IRCBot.ACJ"

[Macoriginal]

Hola, tengo Win.xp actualizado al dia, NOD32 V2788, hoy por messenger aqui aceptaron un fichero .zip "picture_032_jpg" que incluia el archivo "image_895.jpg", el NOD no detecto nada, hasta que lo ejecutaron, diciendo que ese suceso se pordujo cuando la aplicacion "C:WINDOWS/Explorer.exe" intento crear un archivo y que se movio a cuarentena. Hice un analisis profundo del sistema y no encontro nada, elimine el archivo de la carpeta temporar donde se habia guardado, mande el archivo comprimido a "virusTotal.com" y no detecto nada. pero en el modulo "AMON" del NOD me dice que hay 3 archivos infectados y 1 desinfectado, pero no puedo saber cuales son, ni donde estan, por otro lado vi que el archivo .zip ahora esta en la carpeta "mis archivos recibidos" donde creo que no estaba en principio y no aparece en la papelera. Todavia no reinicie el equipo, no parece estar andando mal, busque en internet por el nombre "Win32/IRCBot.ACJ" y una de las paginas donde figura es la de ESET, donde dice:

NOD32 - v.2787 (20080112)

Virus signature database updates:

Win32/IRCBot.ACI, [b]Win32/IRCBot.ACJ [/b]



Esto querra decir que no se infecto la pc?, borro el archivo.zip y me olvido?. que me pueden decir. gracias

[msc hotline sat]

Envianos este ZIP para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







y tras desempaquetar dicho zip en una carpeta cualquiera, pasa estas utilidades y nos informas:





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 14-01-2008

[Macoriginal]

ok , encontro un par de cosas, pero nada que tenga que ver con esto.



Mon Jan 14 13:50:36 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 14 13:50:50 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Palm\OCPTASKSHH.DLL --> Infectado, NavHelper(BHO)



Nº Total de Directorios: 4303

Nº Total de Ficheros: 49720

Nº de Ficheros Analizados: 14041

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Mon Jan 14 13:59:05 2008

EliStartPage v15.42 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Mon Jan 14 13:59:28 2008

EliTriIP v4.30 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jan 14 13:59:35 2008

EliTriIP v4.30 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2502

Nº Total de Ficheros: 23949

Nº de Ficheros Analizados: 3526

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

C:\Documents and Settings\Familia\Configuración local\Datos de programa\Microsoft\Messenger\anala@hotmail.com\Sharing Folders\julianal@hotmail.com\KeyGen.exe --> Eliminado, KeyGen.Bublic



Nº Total de Directorios: 4296

Nº Total de Ficheros: 49412

Nº de Ficheros Analizados: 12545

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Jan 14 14:04:23 2008

EliTriIP v4.30 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\TuneUp Utilities 2007 6.0.1256\KeyGen.exe --> Infectado, KeyGen.Bublic



Nº Total de Directorios: 2502

Nº Total de Ficheros: 23949

Nº de Ficheros Analizados: 1917

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



lo que no borre, son cosas que estaban de antes y nunca dieron problemas (de hecho el archivo OCPTASKSHH.DLL lo trae la instalacion del software de palm, y no encontre referencias de que sea algo maligno). ustedes diran, gracias.

[msc hotline sat]

Pues envianos este fichero C:\Archivos de programa\Palm\OCPTASKSHH.DLL como falso positivo, si estas seguro de ello:



https://foros.zonavirus.com/detecciones-de-falsos-positivos-en-utilidades-de-evaluacion-vt19441.html



Y por otro lado, esperamos que ya nos habrás enviado el ZIP supuestamente infectado para analizar y controlar en proximas versiones



saludos



ms, 14-1-2008

[Macoriginal]

OK, ahora lo envio, estuve buscando por foros y nada, en paginas figura como parte del sistema de Palm Desktop, y figura en la lista de .dll en la "info. de version de palm desktop" como "tasks Handheld interface" Version 1.2.2. Creo que es limpio.

Por otro layo ya envie el archivo .zip y ahora mando el falso positivo.



voy a pasar a eliminar el .zip que, aparentemente y por suerte creo que no logro infectar nada. estas de acuerdo?



gracias

[msc hotline sat]

Espera a que te confirmemos haberlo recibido, pues igual no llega si lo interceptan por el camino...



saludos



ms, 14-1-2008

[Macoriginal]

Ok, lo mantengo entonces, si no llegan en un tiempo mas, lo envio desde otra cuenta. ahora lo hice por una de hotmail...en fin, espero y me avisas. saludos

[msc hotline sat]

Tampoco molesta ! y si quieres renombralo a .piz para mayor seguridad :wink:



saludos



ms, 14-1-2008

[msc hotline sat]

El falso positivo ya ha sido corregido en la proxima version del ELITRIIP, pero el otro fichero que nos ha enviado solo tiene 22 bytes, y nada aprovechable en su interior...



[b][i]"Picture_032_jpg.zip"[/i][/b]



Mira el tamaño que tiene en tu ordenador este fichero, y si es mas grande (22 bytes se lo come ya el titulo) nos lo envias empaquetado con password VIRUS para poder enviarnoslo sin ser interceptado por el camino.



saludos



ms, 15-1-2008