Otra Variante virus messenger (SOLUCIONADO)

[koga]

Hola, me tope con una variante del virus de messenger que ni elistara ni elitriip controlan, por lo cual hago el envio de la muestra, el archivo que se envia por messenger es un comprimido fotos4.zip y contiene en su interior foto-4.JPEG-www.facebook.com todos esto claro acompañado de los ya conocidos mensajes de este virus(En español).



Al ejecutar el archivo abre el proceso ie.exe e inmediatamente se envia a todos los contactos, ademas crea la entrada:

O4 - HKLM\..\Run: [Microsoft Internet Explorer Manager] ie.exe

para ejecutarse en cada reinicio, y ademas aloja un archivo en:

C:\WINDOWS\system32\ie.exe



Ya envie el archivo ie.exe y ademas el fotos4.zip para su analisis y control, adjunto ademas los resultados de ie.exe de virustotal,





Saludos.



[b]Porfavor me avisan una ves llegadas las muestra de los archivos para poder borrarlos del pc[/b]

[msc hotline sat]

Pues muy bien, KOGA, has pescado un pez que todavía ninguno de los antivirus del VirusTotal controla especificamente, solo heuristicamente por sospechoso, por encriptado y el unico que indica detectarlo con nombre y apellidos, Sophos, detecta un Mal/Emogen-N cuya descripcion no corresponde al caso:



[quote=Sophos"]<System>\IIIUKNJBUMI

<System>\sysdivx.dll



The files IIIUKNJBUMI and sysdivx.dll are detected as Mal/Emogen-N.[/quote]



Hoy analizaremos los ficheros que nos has enviado y pasaremos a controlarlos, no sé si será de la linea SDBOT, en cuyo caso pasaríamos a añadir su control al ELITRIIP, o por el contrario será un PSW, y se controlaría con el ELISTARA.



eN CUALQUIER CASO, INFORMAREMOS EN CONSECUENCIA



SALUDOS



MS, 25-2-2008





NOTA: Preferiríamos que en lugar de borrar los ficheros, renombraras su extension a .VIR, asi ya estarían aparcados y no entrarían en uso, pero deja que sea la utilidad que hagamos la que elimine a ficheros y a las claves correspondientes, asi como a otros restos que hubiera podido crear, y en el infosat veremos lo que ha hecho y podremos obrar en consecuencia. ms.

[koga]

Pues si asi lo prefieres msc asi lo hare, los renombrare a .vir

De todas formas ya elimine la entrada desde el hijackthis y comprobe que al abrir messenger no se envia, lo de las claves si esta dificil pues obviamente ejecute el archivo en el pc que tengo solo para pruebas y ya restaure las claves manualmente, pero si keres lo ejecuto denuevo y ahi lo dejamos hasta que salga la utilidad :lol: pues nadie usa ese pc el pobre se ha transformado y mi fuente de experimentos :lol: :lol:

Bueno espero les sirvan las muestras que, cada ves que me topo con una, hago lo posible por enviarles,











Saludos.

[msc hotline sat]

No, las claves no hace falta, no las mencionamos en el informe, las restauramos siempre y sería alargar innecesariamente el infosat indicandp todas las claves restauradas... piensa que muchas veces son restos de infecciuones de las que el gusano ya ha sidi eliminado, pero quedan claves inocuas, que corregimos con dichas utilidades sin mencionarlo.



Pero los ficheros, si existen como .VIR, estarán aparcados, inactivos, pero detectables y eliminables por nuestras utilidades, que es lo que queremos comprobar que hagan.



Gracias como siempre por tu colaboracion.



saludos



ms, 25-2-2008

[koga]

Pues asi sera entonces, ya renombre el archivo que esta en la carpeta de sistema, ie.exe.vir, el otro archivo que es el que se envia por messeneger el fotos4.zip lo dejo asi o tambien lo renombro?

Y pues nada gracias a ti y claro a todos los que hacen posible este foro que nos presta tanta ayuda es lo minimo que puedo hacer :wink:







Saludos.

[msc hotline sat]

Ya sabes que te considero parte del equipo, koga, y me consta que si no estas mas en el foro, es porque no puedes, pero cuando intervienes se agradece :wink:



Y sobre el ZIP no hace falta que lo renombres, este no se puede activar solo, espera a borrarlo a confirmar que lo hayamos recibido, que será en un par de horas, pero vete a dormir, que ya es hora !!!



saludos



ms, 25-2-2008







NOTA: Por Dios, que veo que son mas de las 2 AM por acá...



Hora local* 25 Feb 2008[b][i] 02:18 [/i][/b] Longitud -70.6667

[koga]

Como mande papi :lol: :lol:

Como si no te basta con los hijos que ya tienes te toca estar corrigiendo a este de chile :lol:

Entonces espero solo para confirmar y eliminarlo, y ahora a dormir que toca trabajo mañana temprano :?









Saludos.







Nota: De todas formas me quede porque tenia que terminar unos informes para mañana, con el foro al menos siempre se me quita un poco el sueño para terminar :wink:

[msc hotline sat]

Venga ya, A DORMIR ! :lol:



Que descanses KOGA, y hasta dentro de un rato, que para los dos es lunes...



saludos



ms, 25-2-2008

[msc hotline sat]

Recibidos los ficheros en cuestion, los hemos analizado con el VirusTotal actualizado para ver si habia algun otro antivirus que lo controlara...



File ie.exe received on 02.25.2008 09:55:47 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 7/31 (22.59%)

Antivirus Version Last Update Result

AhnLab-V3 2008.2.22.0 2008.02.22 -

AntiVir 7.6.0.67 2008.02.25 TR/Crypt.XPACK.Gen

Authentium 4.93.8 2008.02.24 -

Avast 4.7.1098.0 2008.02.24 -

AVG 7.5.0.516 2008.02.24 -

BitDefender 7.2 2008.02.25 -

CAT-QuickHeal 9.50 2008.02.22 -

ClamAV 0.92.1 2008.02.25 -

DrWeb 4.44.0.09170 2008.02.24 -

eSafe 7.0.15.0 2008.02.21 Suspicious File

eTrust-Vet 31.3.5562 2008.02.25 -

Ewido 4.0 2008.02.24 -

FileAdvisor 1 2008.02.25 -

Fortinet 3.14.0.0 2008.02.24 -

F-Prot 4.4.2.54 2008.02.24 -

F-Secure 6.70.13260.0 2008.02.25 Suspicious:W32/Malware!Gemini

Ikarus T3.1.1.20 2008.02.25 Trojan.Crypt.XPACK

Kaspersky 7.0.0.125 2008.02.25 -

McAfee 5236 2008.02.22 -

Microsoft 1.3204 2008.02.25 -

NOD32v2 2898 2008.02.23 -

Norman 5.80.02 2008.02.22 -

Panda 9.0.0.4 2008.02.25 Suspicious file

Prevx1 V2 2008.02.25 -

Rising 20.33.01.00 2008.02.25 -

Sophos 4.26.0 2008.02.25 Mal/Emogen-N

Sunbelt 3.0.893.0 2008.02.23 -

TheHacker 6.2.9.228 2008.02.23 -

VBA32 3.12.6.1 2008.02.21 -

VirusBuster 4.3.26:9 2008.02.24 -

Webwasher-Gateway 6.6.2 2008.02.25 Trojan.Crypt.XPACK.Gen

Additional information

File size: 79872 bytes

MD5: 752b3613dbab68ca8699a130d8ea0880

SHA1: 253f8184ab12c9b535e0fda2d76b90e3d2b1c1f3

PEiD: -





pero no, como puede verse, y al monitorizarlo y comprobar su comportamiento como un SDBOT, pasamos a implementar su control y eliminacion en el ELITRIIP, como todos los demas SDBOT y lo añadimos a la version 4.73 de hoy, que estará disponible en esta web para pruebas de evaluacion en el foro de zonavirus, a partir de las 19 h GMT.



Tras ello pruebalo y nos comentas el resultado, posteandonos el contenido del infosat.txt, donde veremos que lo haya detectado y eliminado, gracias



saludos



ms, 25-2-2008

[msc hotline sat]

Ojo, decias que tambien nos enviabas el FOTOS4.ZIP que segun decias era como venia por correo, y dicho fichero no lo has enviado.



Los RAR no los miramos, por lo que los que pudieras tener con dicha extension, deberás eliminarlo a mano, pero el ZIP que decias, si nos lo envias (empaquetado en un RAR con password VIRUS), lo trataremos de controlar, ademas del EXE que ya hemos implementado. Es posible que tenga la misma cadena que el .EXE y ya lo detectemos sin haberlo visto, compruebalo y si es asi ya no hace falta que nos lo envies, claro.



saludos



ms, 25-2-2008

[koga]

Es justamente lo que hice ya que como zip no podia enviarlo y lo envie adjunto al mismo mail, tal vez no se envio bien, bueno de todas formas lo vuelvo a descomprimir y lo envio en fotos4.rar con pasword como siempre, mientras pruebo el elitriip, los otros .rar ya han sido eliminados, cualquier otra cosa solo me dices,











Saludos.

[koga]

Pues ahora si el nod me lo detecta y me da una maña del demonio para poder descomprimirlo y enviarlo, desactivare todo para poder enviar pero tardare un poco, paciencia mientras lucho con esto :lol:











Saludos.

[koga]

Bueno lo logre, acabo de enviar el archivo, se llama fotos4.rar, pero ojo que envio el archvivo que contenia en su interior el fotos4.zip que no se llama igual si no [b]foto-4.JPEG-www.facebook.com[/b] y es un exe, ahora paso a probar el elitriip,









Saludos.

[koga]

[quote="msc hotline sat"]pero no, como puede verse, y al monitorizarlo y comprobar su comportamiento como un SDBOT, pasamos a implementar su control y eliminacion en el ELITRIIP, como todos los demas SDBOT y lo añadimos a la version[b]4.73[/b] de hoy, que estará disponible en esta web para pruebas de evaluacion en el foro de zonavirus, a partir de las 19 h GMT.
[/quote]

Supongo que te referias a la version [b]4.43[/b], la descargue y la probe, la primera ves no lo detecto al estar renombrado a [b]ie.exe.vir[/b] lo volvi a dejar como ie.exe y lo pase denuevo y ahi si lo detecto por accion directa,



Mon Feb 25 21:59:25 2008

EliTriIP v4.43 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

[b]Entrada Eliminada [HKLM\...\Run] "Microsoft Internet Explorer Manager"="ie.exe"[/b]



Mon Feb 25 21:59:27 2008

EliTriIP v4.43 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6182

Nº Total de Ficheros: 64309

Nº de Ficheros Analizados: 17241

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Feb 25 22:10:00 2008

EliTriIP v4.43 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Feb 25 22:14:17 2008

EliTriIP v4.43 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

[b]C:\WINDOWS\SYSTEM32\IE.EXE --> Eliminado[/b]











Saludos.

[msc hotline sat]

Perfecto, ahora ya puedes eliminar los ZIP o RAR al respecto, ya se han eliminado claves y ficheros ejecutables correspondientes.



Gracias a tí , KOGA, podemos decir que somos de los primeros en controlar y eliminar esta nueva variante, de este virus que al propagarse por MSN, todos podemos ser infectados.



Y dando por solucionado el Tema, procedemos a cerrarlo.



No hace falta decirte que vuelvas cuando quieras :wink:



saludos



ms, 26-2-2008