Nueva infeccion por BAGLE

ramonpertusa · Mensaje por **ramonpertusa** » 17 Ene 2008, 22:56

Hola de nuevo:

Se me ha vuelto a infectar el ordenador (Windows XP SP2 actualizado) con el BAGLE (parece) el efecto no es idéntico al de la otra vez, desactiva el NOD32 e inutiliza los ejecutables, pero no los elimina.

He pasado el ELibagleA 10.88 que ha emitido este informe:

Pego tan sólo desde que el otro dia corrió la 10:86 desinfectndo lo que había y los pases de hoy

Tue Jan 15 19:54:36 2008

EliBagle v10.86 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Pinnacle\Shared Files\Programs\Remote\REMOTERM.EXE --> Eliminado Bagle.dldr

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.84 --> Eliminado Bagle.dldr

C:\Muestras\HLDRRR.EXE.MUESTRA ELIBAGLE V10.85 --> Eliminado Bagle.dldr

C:\Muestras\SROSA.SYS.MUESTRA ELIBAGLE V10.84 --> Eliminado Bagle (rootkit)

C:\Muestras\SROSA.SYS.MUESTRA ELIBAGLE V10.85 --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP612\A0179361.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP612\A0179452.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP612\A0179464.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP612\A0179473.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP615\A0179494.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP615\A0179549.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP615\A0179569.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP615\A0180569.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP616\A0180666.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0180682.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0180717.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0180729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0181729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0182729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0183729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0184729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0185729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0186729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0187729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0188729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0189729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0191729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0192729.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0193729.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0193737.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0194737.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0194746.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0195746.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0195754.SYS --> Eliminado Bagle (rootkit)

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0195768.EXE --> Eliminado Bagle.dldr

C:\System Volume Information\_restore{429F5909-EBBE-4F94-BBF3-5C6083810CC9}\RP618\A0195777.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\drivers\HLDRRR.EXE --> Eliminado Bagle.dldr

C:\WINDOWS\system32\drivers\SROSA.SYS --> Eliminado Bagle (rootkit)

Nº Total de Directorios: 13280

Nº Total de Ficheros: 139754

Nº de Ficheros Analizados: 18370

Nº de Ficheros Infectados: 38

Nº de Ficheros Limpiados: 38

Tue Jan 15 20:09:39 2008

EliBagle v10.84 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WINTEMS.EXE.Muestra EliBagle v10.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

Thu Jan 17 21:02:29 2008

EliBagle v10.88 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"

Thu Jan 17 21:02:35 2008

EliBagle v10.88 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\WINTEMS.EXE.MUESTRA ELIBAGLE V10.84 --> Eliminado Bagle

C:\Muestras\WINTEMS.EXE.MUESTRA ELIBAGLE V10.85 --> Eliminado Bagle

C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\185156.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\211703.EXE --> Eliminado Bagle

C:\WINDOWS\system32\drivers\down\217703.EXE --> Eliminado Bagle

Nº Total de Directorios: 13331

Nº Total de Ficheros: 140221

Nº de Ficheros Analizados: 18425

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6

Thu Jan 17 21:54:17 2008

EliBagle v10.88 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SROSA.SYS.Muestra EliBagle v10.88

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.88

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Thu Jan 17 21:54:37 2008

EliBagle v10.88 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 12921

Nº Total de Ficheros: 128961

Nº de Ficheros Analizados: 16471

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Envío las muestras a virus@satinfo.es

Claudia34 · Mensaje por **Claudia34** » 17 Ene 2008, 23:22

Y por las dudas por algun que otro marrano descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.

Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt

http://www.zonavirus.com/descargas/elitriip.asp

Y para complementar (opcional en algunos casos):

viewtopic.php?f=5&t=18469

Y compleméntalo posteándonos el Log del HJT:

HJT: (HiJackThis)

¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:

Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/hom ... ntivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

Mensaje por **msc hotline sat** » 18 Ene 2008, 07:01

Pues ya ves que se te piden muestras:

Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.88
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.88

-> Para ello recordar: viewtopic.php?f=2&t=45334

A su recepcion las analizaremos y procederemos en consecuencia

saludos
ms, 18-1-2008

ramonpertusa · Mensaje por **ramonpertusa** » 18 Ene 2008, 21:29

Hola de nuevo:

He recibido vuestro mail, he bajado y hecho correr la última versión que habéis colgado del ElibaglA , arrancando desde un CD porque desde el Windows del ordenador se colgaba, y ha detectado y eliminado el gusano. Ahora todo parece ir bien.

Muchas gracias por vuestra atención y hasta siempre

Mensaje por **lucl** » 18 Ene 2008, 22:22

no obstante recuerda que solemos pedir el log que tendras en C infosat.txt gracias saludos

Mensaje por **msc hotline sat** » 22 Ene 2008, 08:08

Y de Bagle hay de nuevos cada día, ayer mismo recibimos varios, que controlaremos con el ELIBAGLA de hoy , asi que no guardes el que has usado y baja siempre la ultima version antes de probar.

Es mas, aconsejaría probar esta noche la versión que pondremos esta tarde, y nos posteas el contenido del C:\infosat.txt como dice lucl, y veremos que no quede nada conocido.

saludos

ms, 22-1-2008

Mensaje por **msc hotline sat** » 23 Ene 2008, 07:42

Subida la nueva version 10.90 del ELIBAGLA

Descargala y posteanos contenido resultante del c:\infosat.txt, gracias

saludos

ms, 23-1-2008

ramonpertusa · Mensaje por **ramonpertusa** » 25 Ene 2008, 22:12

Hola de nuevo:

Perdonad la demora, pero aquí os mando el último repaso:

Fri Jan 25 21:23:56 2008

EliStartPage v15.52 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 25 21:24:18 2008

EliStartPage v15.52 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Xilisoft\WMA MP3 Converter\Plugins\IN_VORBIS.DLL --> Eliminado, WinAntiVirus Pro 2006

Nº Total de Directorios: 13449

Nº Total de Ficheros: 127864

Nº de Ficheros Analizados: 31118

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Fri Jan 25 21:48:41 2008

EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Jan 25 21:48:43 2008

EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 13450

Nº Total de Ficheros: 127868

Nº de Ficheros Analizados: 17358

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Por cierto, antes de pasar estos programas había pasado, de forma rutinaria un escaneo completo de AVAST y me ha detectado una versión que tenía de ElistarA como infectada por un trojano (Win32 Small-CPR)

AVAST la ha renombrado y la ha metido en una carpeta, os envío una copia por el conducto ordinario, no estoy totalmente seguro que el archivo que os envío sea el ElistarA lo he cogido en base al tamaño y a un informe que AVAST ha emitido (aunque algo críptico me ha parecido entender como lo había renombrado)

Mensaje por **msc hotline sat** » 26 Ene 2008, 09:00

Buen, pues en el infosat.txt lo vemos ya todo normal, y lo que dice de la deteccion de AVAST sobre el ELISTARA, es un falso positivo del AVAST, ya conocido, como hemos dicho otras veces:

viewtopic.php?f=5&t=20725

Asi que dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos.

saludos
ms, 26-1-2008

Nueva infeccion por BAGLE

Nueva infeccion por BAGLE

Nueva infección por BAGLE (Fin)