Infeccion por virus en el msn myspaces

OSOVEN · Mensaje por **OSOVEN** » 12 Feb 2008, 13:09

Buenos dias.

me infecte con algun tipo de virus de myspaces para el messenger el mismo secuestro mi messenger el cual ya pude recuperar, pero, cuando alguno de los usuarios en mi lista de aceptados del messenger inicia sesion yo le envio de manera automatica por chat el archivo que transmite el virus, no he podido determinar donde esta ubicado, para eliminarlo podrian uds ayudarme.

gracias

Mensaje por **msc hotline sat** » 12 Feb 2008, 13:21

Pruebe de entrada estas dos utilidades:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlas, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 12-2-2008

OSOVEN · Mensaje por **OSOVEN** » 12 Feb 2008, 15:01

ok ejecute las dos aplicaciones os resultados estan anexos, total scan de panda virus detecto el w32/MSNworm.cz pero no me da opciones para eliminarlo

Mensaje por **lucl** » 12 Feb 2008, 15:09

Debes poner el resultado mediante copiar y pegar, de este modo pierde estructura y no se lee bien, saludos

Mensaje por **msc hotline sat** » 12 Feb 2008, 15:09

Debes postear el informe con un copiar y pegar, no anexandolo como has hecho, porque asi se pierde la estructura:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

Pero ya que dices que Panda detecta un MSNworm, envianos los ficheros donde lo detecta para analizarlos, y tras ello implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 12-2-2008

OSOVEN · Mensaje por **OSOVEN** » 12 Feb 2008, 15:34

ok ya les envie las muestras y el log del infosat a su cuenta de correo electronico bajo el nick osoven

Mensaje por **msc hotline sat** » 12 Feb 2008, 15:53

Por favor, el infosat postealo aqui con un copiar y pegar.

A Satinfo solo deben enviarse ejecutables para monitorizar, pues solo los que estan asociados a sus servicios pueden enviar y ser atendidos sobre analisis de logs, y otros problemas, y exclusivamente para este foro, las muestras que se reciben en la cuenta de zonavirus@satinfo.es son analizadas e implementado control y solucion en las utilidades correspondientes , pero ello ya se indica en :

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

como se ha indicado anteriormente...

Postea el contenido del c:\infosat.txt con un copiar y pegar en tu proximo post de respuesta a este Tema, gracias

saludos

ms, 12-2-2008

OSOVEN · Mensaje por **OSOVEN** » 12 Feb 2008, 16:13

Tue Feb 12 08:16:57 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Feb 12 08:17:00 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5784

Nº Total de Ficheros: 59051

Nº de Ficheros Analizados: 10946

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Feb 12 08:39:07 2008

EliStartPage v15.63 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 12 08:39:32 2008

EliStartPage v15.63 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Lenovo\InvAgent\local\collect\ADAPTER.DLL --> Eliminado, Puper-Isa(BHO)

Nº Total de Directorios: 5777

Nº Total de Ficheros: 58633

Nº de Ficheros Analizados: 13050

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Feb 12 09:17:24 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Feb 12 09:17:26 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5771

Nº Total de Ficheros: 58311

Nº de Ficheros Analizados: 10767

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 12 Feb 2008, 16:19

Pues a la vista de lo detectado y eliminado, el Puper es un downloader, pero no es el virus de MSN, asi que analizaremos las muestras que nos ha enviado e implementaremos su control y eliminacion en nuestras utilidades, procuraremos que sea esta misma tarde.

saludos

ms, 12.2.2008

Mensaje por **msc hotline sat** » 12 Feb 2008, 16:29

Efectivamente, en un analisis superficial con los 32 antivirus del virustotal vemos que 11 de los 32 antivirus lo detectan (8 + 3 como sospechoso):

[quote]File foto-003.JPEG-www.myspace.com received on 02.10.2008 01:16:01 (CET)

Current status: finished

Result: 11/32 (34.38%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 - - -

AntiVir - - TR/Crypt.XPACK.Gen

Authentium - - -

Avast - - -

AVG - - SHeur.ARYH

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - Suspicious File

eTrust-Vet - - -

Ewido - - -

FileAdvisor - - -

Fortinet - - -

F-Prot - - -

F-Secure - - Suspicious:W32/Malware!Gemini

Ikarus - - -

Kaspersky - - Heur.Trojan.Generic

McAfee - - -

Microsoft - - Trojan:Win32/Ircbrute

NOD32v2 - - -

Norman - - -

Panda - - Suspicious file

Prevx1 - - MSNLive-Image:Worm-a

Rising - - -

Sophos - - Mal/Emogen-N

Sunbelt - - -

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - Backdoor.IRCBot.WAD

Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen

Additional information

MD5: e5779730597695b1191b706d10c4ae3e

SHA1: 38d3304e62cd14b34c2a42cf96611f879c5bf572

SHA256: e0ad4f691e4fa4e4276cd60864fe68cddbb439ca44f3e366e546e633e208a887

SHA512: a2f8889c0f663a95032490a4d57ff1e2a35c634474f9f52c1502fe060cacf20a fcdf38ffa3b13088b506fe657f4754ea0504da122f92e0db79edebdcb17ba241 [/quote]

Es de la misma familia que otros SDBOT que se han controlado recientemente, y como tal pasaremos a controlarlo esta misma tarde con el ELITRIIP de hoy v 4.36

A partir de las 19 h. estará disponible en esta web para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 12-2-2008

OSOVEN · Mensaje por **OSOVEN** » 12 Feb 2008, 18:31

en cuanto al puper creo que puede ser un falso positivo, debido a que se detecta en un archivo para control de acceso en una laptop lenovo de ibm, uan ves ejecuto el elistar a debo volver a instalar el software de seguridad. habria alguna forma de verificar esto.

Mensaje por **msc hotline sat** » 12 Feb 2008, 18:42

Sí claro, envianos muestra del posible falso positivo como se indica en:

https://foros.zonavirus.com/detecciones-de-falsos-positivos-en-utilidades-de-evaluacion-vt19441.html

y sobre el virus de MSN, acabamos de subir el ELITRIIP de hoy que lo controla:

https://foros.zonavirus.com/aqui-vp126832.html#126832

descargalo, pruebalo e informanos del resultado, gracias:

[quote]http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 12-2-2008

arcoka · Mensaje por **arcoka** » 12 Feb 2008, 18:50

Hola Amigos soy nuevo en este foro y he leido varios articulos que me han servido de ayuda....gracias por existir!!!!

mi comentario es sobre el ElitriIP yo estoy acargo de una empresa con un servidor de correo y web...entonces los ultimos problemas han sido con los troyanos que manda spam....mi IP hasido bloqueada 2 veces entonces he estado buscando soluciones......los encontre a ustedes y utilice el ElitriIP para eleminar esos malvados troyanos...alfin este fue el resultado que encontre con ese soft.......gracias y espero consejos suyos para seguir sobreviviendo....

post:

Tue Feb 12 11:22:02 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Feb 12 11:22:45 2008

EliTriIP v4.35 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)

C:\WINDOWS\system32\spool\drivers\w32x86\3\SS42SRES.DLL --> Eliminado, RootKit

Nº Total de Directorios: 4486

Nº Total de Ficheros: 58449

Nº de Ficheros Analizados: 18423

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

OSOVEN · Mensaje por **OSOVEN** » 12 Feb 2008, 19:18

Tue Feb 12 13:22:33 2008

EliTriIP v4.36 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Feb 12 13:22:35 2008

EliTriIP v4.36 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5809

Nº Total de Ficheros: 59490

Nº de Ficheros Analizados: 10988

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Feb 12 13:35:09 2008

EliTriIP v4.36 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5810

Nº Total de Ficheros: 59512

Nº de Ficheros Analizados: 10994

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Feb 12 13:41:00 2008

EliTriIP v4.36 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5810

Nº Total de Ficheros: 59512

Nº de Ficheros Analizados: 10994

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

lo ejecute 3 veces no detecto nada

Mensaje por **msc hotline sat** » 12 Feb 2008, 20:04

Pues dudo que tenga este virus activo !

Lo que debe tener es el fichero vírico renombrado a extension OLD, como el fichero que nos ha enviado, que no es operativa, y ni la miramos... para no perder el tiempo, pues OLD significa VIEJO y pueden ser copias de antiguos ficheros que están fuera de circulacion.

A los ficheros que renombramos les ponemos extension .VIR, y aunque tampoco sean operativos, por la naturaleza de la extension que significa VIRICO y si bien los ponemos fuera de circulacion de entrada, luego los detectamos y eliminamos en siguientes versiones o tras reiniciar y ya no estar en uso.

Sea como fuera, aunque no se haya detectado el fichero por no tener extension adecuada, se han corregido las claves de registro y demas restos que pudiera haber c reado, como de los demas malwares que controla esta utilidad, unas cuantas decenas de miles, y que para no llenar el informa, no se menciona, pero tranquilo que este virus ha pasado a mejor vida en su ordenador. de todas formas puede ahora eliminar el fichero .OLD que nos ha enviado, que es el que hubieramos detectado si su extension hubiera sido COM, EXE, PIF, CMD, BAT, DLL o VIR , si no mal recuerdo. Las OLD ni caso.

Y si quiere, renombre la extension del fichero a .VIR (mejor que a EXE para que por accidente no lo ejecutara), y probar el ELITRIIP ...

saludos

ms, 12-02-2008

OSOVEN · Mensaje por **OSOVEN** » 12 Feb 2008, 20:57

ok el proceso de infeccion por el mesenger hacia mis contactos aparentemente se ha detenido, estare al pendiene y cualquier novedad se las comunicare, les envie una muestra a su correo de satinfo de un posible falso positivo quisiera saber si lo recibieron y si en verdad es un falso positivo.

gracias

Mensaje por **flacoroo** » 12 Feb 2008, 22:10

para Arcoka.....abre un post nuevo para que no se confunda uno para dar la respuesta...y ahi se te atendera como es debido y a tu necesidad....

Mensaje por **msc hotline sat** » 13 Feb 2008, 06:38

Y Arcoka, en tu nuevo Tema, posteanos el resultado de escanear con este AV ONLINE, con un copiar y pegar del informe de salida:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

~~[b]~~[i]y deja este Tema, en el que no debías haber posteado ...[/i][/b]

saludos

ms, 13-2-2008

Mensaje por **msc hotline sat** » 13 Feb 2008, 06:42

Pues hoy esperamos encontrar entre los mails el falso positivo que indica habernos enviado y procederemos a excluir su deteccion.

Ya informaremos, y con ello procederemos a cerrar el Tema al considerarlo solucionado.

saludos

ms, 13-2-2008

Mensaje por **msc hotline sat** » 13 Feb 2008, 12:23

Bien, pues ya lo hemos excluido de la deteccion con el ELISTARA de hoy .15.65

Entendemos que es un driver de alguna tarjeta PCI, pero no hay descripcion en su interior.

A partir de las 19 h de hoy estará disponible e esta web para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 13-2-2008

Mensaje por **msc hotline sat** » 26 Feb 2008, 11:14

Recibida muestra de fichero sospechoso para analizar, resulta ser una variante del ONLINE GAMES que pasamos a controlar con el ELISTARA 15.74 de hoy

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 26-2-2008

Infeccion por virus en el msn myspaces

Infeccion por virus en el msn myspaces

Re: Infeccion por virus en el msn myspaces