3o.exe y yo2mq6.exe SOLUCIONADO

[mikmatcr]

Nuevamente he encontrado nuevas variantes del amvo, estos se llaman como indica el titulo. Curiosamente el yo2mq6.exe me parece que ya lo borraba el Elistara pero el 15.87 no lo hizo; asi que seguro es una nueva variante pero con el mismo nombre(ojo que indico que "creo" puesto que no estoy seguro.



Mando en un solo paquete los dos archivos .exe y muestras que el elistara me pidio mandar(de seguro son las muestras de alguno de estos dos archivos pero igual los mando todos).



Infosat.txt



Sat Mar 15 13:18:39 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 15 13:19:23 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\B.COM --> Eliminado, PWS-OnLineGames.AMVO



Sat Mar 15 13:22:25 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Sat Mar 15 13:22:25 2008

EliTriIP v4.51 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Nº Total de Directorios: 2283

Nº Total de Directorios: 2283

Nº Total de Ficheros: 23255

Nº Total de Ficheros: 23258

Nº de Ficheros Analizados: 9403

Nº de Ficheros Analizados: 10019

Nº de Ficheros Infectados: 0

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Nº de Ficheros Limpiados: 1





Virustotal



[b]3o.exe[/b]



Análisis del archivo amvo.exe recibido el 15.03.2008 19:25:36 (CET)

Estado actual: análisis terminado

Resultado: 11/32 (34.38%)



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.3.15.0 2008.03.14 -

AntiVir 7.6.0.73 2008.03.14 TR/Crypt.XPACK.Gen

Authentium 4.93.8 2008.03.14 -

Avast 4.7.1098.0 2008.03.15 -

AVG 7.5.0.516 2008.03.15 -

BitDefender 7.2 2008.03.15 -

CAT-QuickHeal 9.50 2008.03.14 Win32.Packed.NSAnti.r

ClamAV 0.92.1 2008.03.15 -

DrWeb 4.44.0.09170 2008.03.15 -

eSafe 7.0.15.0 2008.03.09 suspicious Trojan/Worm

eTrust-Vet 31.3.5616 2008.03.14 -

Ewido 4.0 2008.03.15 -

FileAdvisor 1 2008.03.15 -

Fortinet 3.14.0.0 2008.03.15 W32/OnLineGamesEncPK.fam!tr.pws

F-Prot 4.4.2.54 2008.03.15 -

F-Secure 6.70.13260.0 2008.03.14 Suspicious:W32/Malware!Gemini

Ikarus T3.1.1.20 2008.03.15 -

Kaspersky 7.0.0.125 2008.03.15 -

McAfee 5252 2008.03.14 -

Microsoft 1.3301 2008.03.15 -

NOD32v2 2949 2008.03.15 -

Norman 5.80.02 2008.03.14 -

Panda 9.0.0.4 2008.03.15 Suspicious file

Prevx1 V2 2008.03.15 Generic.Malware

Rising 20.35.51.00 2008.03.15 Packer.Win32.Mian007.a

Sophos 4.27.0 2008.03.15 Mal/Behav-164

Sunbelt 3.0.963.0 2008.03.14 -

Symantec 10 2008.03.15 -

TheHacker 6.2.92.247 2008.03.15 -

VBA32 3.12.6.2 2008.03.13 -

VirusBuster 4.3.26:9 2008.03.14 Trojan.Lineage.Gen!Pac.3

Webwasher-Gateway 6.6.2 2008.03.14 Trojan.Crypt.XPACK.Gen

__________________________________________________________________________________________________________



Análisis del archivo yo2mq6.exe recibido el 15.03.2008 16:17:25 (CET)

Estado actual: análisis terminado

Resultado: 20/32 (62.50%)



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.3.15.0 2008.03.14 -

AntiVir 7.6.0.73 2008.03.14 TR/Crypt.XPACK.Gen

Authentium 4.93.8 2008.03.14 -

Avast 4.7.1098.0 2008.03.15 -

AVG 7.5.0.516 2008.03.14 -

BitDefender 7.2 2008.03.15 BehavesLike:Win32.Malware

CAT-QuickHeal 9.50 2008.03.14 Win32.Packed.NSAnti.r

ClamAV 0.92.1 2008.03.15 -

DrWeb 4.44.0.09170 2008.03.15 Trojan.PWS.Wsgame.3603

eSafe 7.0.15.0 2008.03.09 suspicious Trojan/Worm

eTrust-Vet 31.3.5616 2008.03.14 -

Ewido 4.0 2008.03.15 -

FileAdvisor 1 2008.03.15 -

Fortinet 3.14.0.0 2008.03.15 W32/OnLineGamesEncPK.fam!tr.pws

F-Prot 4.4.2.54 2008.03.14 -

F-Secure 6.70.13260.0 2008.03.14 Trojan-PSW.Win32.OnLineGames.uej

Ikarus T3.1.1.20 2008.03.15 Trojan-PWS.Win32.OnLineGames.uej

Kaspersky 7.0.0.125 2008.03.15 Trojan-PSW.Win32.OnLineGames.uej

McAfee 5252 2008.03.14 New Malware.hw

Microsoft 1.3301 2008.03.15 VirTool:Win32/Obfuscator.T

NOD32v2 2949 2008.03.15 Win32/PSW.OnLineGames.MUU

Norman 5.80.02 2008.03.14 W32/OnLineGames.ARJL

Panda 9.0.0.4 2008.03.15 W32/Lineage.HUD.worm

Prevx1 V2 2008.03.15 Hwang

Rising 20.35.51.00 2008.03.15 Packer.Win32.Mian007.a

Sophos 4.27.0 2008.03.15 Mal/Generic-A

Sunbelt 3.0.963.0 2008.03.14 -

[b]Symantec 10 2008.03.15 Infostealer.Gampass[/b] :?:

TheHacker 6.2.92.246 2008.03.14 -

VBA32 3.12.6.2 2008.03.13 -

VirusBuster 4.3.26:9 2008.03.14 Trojan.Lineage.Gen!Pac.3

Webwasher-Gateway 6.6.2 2008.03.14 Trojan.Crypt.XPACK.Gen



Dice que Symantec lo detecta pero lo tengo en esta pc y al escanaer lo ignora.



Gracias!!!! :mrgreen: :mrgreen:

[lucl]

Francamente teneis una fabrica de amvos :lol: , bueno pues ya sabes a esperar los analisis, y el lunes os diran algo como siempre, saludos :D

[mikmatcr]

Si. Es que los estudiantes quien sabe donde meten los usb y llegan a contaminar las pcs, en aulas usamos el symantec corporativo que para mi gusto es muy bueno desinfectando y eliminando puesto que logra matar el proceso sin necesidad de reiniciar y los detecta rápido. El problema es que aveces duran mucho tiempo en ingresar a la base de datos los virus encontrados, me doy cuenta por Virustotal.com, en mi casa uso el Avira Free que casi siempre es uno de los primeros en detección de los virus recientes(lo malo es que sale aveces unos falsos positivos).



Pero esperemos que logremos controlar un poco tanta infección. :!: :!:



Gracias!!!!

[msc hotline sat]

Os cuento alguna cosa que os puede intresar:



Aunque ya detectamos con el ELISTARA cualquier nueva variante de esta familia, por eso pedimos muestra, necesitamos analizarlo para encontrar la cadena identificadora con la cual controlar el fichero de nombre variable que crea en el directorio raiz, pero de entrada, pasando el ELISTARA, ya movemos el gusano en cuestion a la carpeta muestras, con lo que el virus ya queda aparcado.



Otra cosa es que ademas se propaga por pendrive, por lo que recordar que con el ELIPEN se evita dicha propagacion, mirad de vacunar ordenadores y pendrives con dicha utilidad.



Y por último, son tres las grandes familias que se conocen actualmente de este malware, los que usan el AMVO, los del TAVO y los del KAVO, y se espera que pronto haya una nueva familia que identificamos por dicha propagacion por pendrive y, aparte del nombre (que puede no tener terminacio AVO), por no permitir acceder a los ficheros ocultos, lo cual es caracteristica casi exclusiva de ella.



Iremos controlando las nuevas variantes, de dichas gamas que ya conocemos, y cuando sepamos de una nueva, pues a por ellos, pues por mucho que pretendamos frenar su propagacion con el ELIPEN... hay muchos ordenadores ahí fuera :wink: :roll:



saludos



ms, 16-03-2008

[mikmatcr]

Buen día a todos, pues el día Lunes informare si ya el Elistara ha borrado los archivos.



La U cerró toda la semana(por semana Santa) y no habia podido conectarme. Hasta el Lunes!!

[msc hotline sat]

Sí, las muestras que has enviado hasta ahora estarán controladas, y eliminadas con el actual ELISTARA.



Pero mira que los ordenadores de la Universidad al menos (ya que los pendrives de todos los estudiantes puede ser mas dificil), sean vacunados con el ELIPEN que ya conoces, pues asi al menos por esta via de propagacion no se infectarían



Ya nos comentaras el resultado



saludos



ms, 24-03-2007

[mikmatcr]

Bueno tengo buenas y malas noticias.

La buena es que el Symantec ya detecta los dos virus mencionados. :mrgreen:

La mala es que me borró las muestras y los virus antes de que pasara el elistara. :oops:

Sin embargo el elistara si borró un dll de dicho virus.



En conclución, pueden dar el tema por solucionado.



Gracias!!!!

[lucl]

Bueno entonces daremos el tema por solucionado y lo cerramos, y te esperamos para futuros amvos, saludos :D