Virus messenger (SOLUCIONADO)

papageno · Mensaje por **papageno** » 08 Abr 2008, 12:25

Hola, soy nuevo y no se si este tema está tratado.

Me enviaron un archivo comprimido por el messenger foto_009 que una vez que los descomprimes es: Foto_009.JPEG-www.myspace.com

El virus coje el control del messenger y se reenvía a mis contactos con mensajes tipo "mira la foto de la fiesta", "mira la foto de mi perrito", etc.. e impidiendo que mis contactos se comuniquen conmigo.

Necesito ayuda

Gracias

Mensaje por **msc hotline sat** » 08 Abr 2008, 12:38

Hay muchas variantes de estos SDBOT.

Mira si el ELITRIIP o el ELISTARA ya controla el que tienes, y si no, nos envias muestra del mismo para analizar e implementar su control en siguientes versiones:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

___________

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 8-04-2008

papageno · Mensaje por **papageno** » 08 Abr 2008, 13:19

Este es el post del ELITRIIP:

Tue Apr 08 12:59:55 2008

EliTriIP v4.58 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Apr 08 13:00:18 2008

EliTriIP v4.58 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4181

Nº Total de Ficheros: 45975

Nº de Ficheros Analizados: 13243

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Apr 08 13:08:33 2008

EliTriIP v4.58 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4182

Nº Total de Ficheros: 45979

Nº de Ficheros Analizados: 13242

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

papageno · Mensaje por **papageno** » 08 Abr 2008, 13:38

Bueno, aquí está el post una vez pasado el ELISTARA

Tue Apr 08 12:59:55 2008

EliTriIP v4.58 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Apr 08 13:00:18 2008

EliTriIP v4.58 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4181

Nº Total de Ficheros: 45975

Nº de Ficheros Analizados: 13243

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Apr 08 13:08:33 2008

EliTriIP v4.58 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4182

Nº Total de Ficheros: 45979

Nº de Ficheros Analizados: 13242

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Apr 08 13:22:27 2008

EliStartPage v16.00 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Tue Apr 08 13:22:35 2008

EliStartPage v16.00 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\ArcGIS\Metadata\ISOWizard\ISOEDITCONTACTS.EXE --> Eliminado, DownLoader.TP

C:\Archivos de programa\GuiaRuralGPS\SETUP.EXE --> Eliminado, Spy.Delf (BHO)

Nº Total de Directorios: 4176

Nº Total de Ficheros: 45309

Nº de Ficheros Analizados: 14419

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Saludos

Mensaje por **msc hotline sat** » 08 Abr 2008, 15:15

Pues por lo visto esta variante aun no la controlamos por cadenas.

Envienos estos dos ficheros:

foto_009.ZIP

Foto_009.JPEG-www.myspace.com

y tras analizarlos, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 8-04-2008

papageno · Mensaje por **papageno** » 09 Abr 2008, 09:02

Hola, ya he enviado el virus al correo electrónico.

Saludos

Mensaje por **msc hotline sat** » 09 Abr 2008, 10:07

Recibidos los ficheros pedidos, efectivamente son variantes de SDBOT aun no controladas por la mayoria de antivirus, solo 9 de 32, como se puede ver en el analisis del VirusTotal:

http://www.virustotal.com/analisis/c52efa294a772718524663dec4747994

Pasamos a implementar su control y eliminacion en el ELITRIIP 4.60 de hoy,

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

Mientras puede renombrar la extension de dichos ficheros a .VIR , para que no se carguen en el proximo reinicio.

Fijarse en la picardía del nombre del ejecutable, que aparenta ser una direccion de internet, Foto_009.JPEG-www.myspace.com, mientras que no es otra cosa que uhn fichero .COM de nombre : Foto_009.JPEG-www.myspace

Recuerdese que la extension COM es una extension de ficheros ejecutables compilados , que se usaban mayoritariamente en MSDOS para pequeñas aplicaciones , y que al igual que los .EXE, .BAT, .SCR, .PIF, etc , identifican ficheros ejecutables.

Tras probar la utilidad indicada, informenos de los resultados, gracias

ms, 9-04-2008

papageno · Mensaje por **papageno** » 10 Abr 2008, 09:05

Hola, este es el resultado una vez que lo he explorado con el ELITRIIP 4.60, gracias :

Thu Apr 10 08:52:04 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Apr 10 08:52:05 2008

EliTriIP v4.60 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4272

Nº Total de Ficheros: 49661

Nº de Ficheros Analizados: 13714

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 10 Abr 2008, 09:46

Pues no vemos que detectaramos el fichero en cuestion, ni como .EXE ni como .VIR, por lo que pensamos que debió eliminarlo antes, cosa que no decíamos justamente para comprobar que se eliminara con la nueva versión... Solo decíamos que renombrara el fichero a .VIR, pero ...

Confirmenos que lo eliminó a mano, para poder dar por solucionado el Tema, gracias

saludos

ms, 10-04-2008

papageno · Mensaje por **papageno** » 10 Abr 2008, 10:53

Pues cuando reinicias el ordenador aparece el virus comprimido en C:\Documents and Settings\Nicasio\Configuración local\Temp con el nombre foto_0011 y ha vuelto a actuar mandando mensajes instantáneos a mis contactos.

Saludos

Mensaje por **msc hotline sat** » 10 Abr 2008, 12:26

Esta es otra variante... El de ayer era el 09 y este de hoy dices que el 11, pues envianos este FOTO_011,ZIP Y tras analizarlo, implementaremos su control y eliminacion en la siguiente version del ELITRIIP, que si lo recibimos esta mañana, será en la version de hoy.

Y aclaranos si borraste el fichero de ayer o solo lor enombraste a .VIR, y si es lo último, mira si aun lo tienes, pues en el infosat no se ve su eliminacion.

saludos

ms, 10-04-2008

papageno · Mensaje por **papageno** » 10 Abr 2008, 12:35

He mandao el correo con el virus

Ayer lo nombré .vir y hoy no está (por lo menos en el mismo sitio) aparece el comprimido que os he mandao.

Hoy ya ha atacado a mis contactos.

Saludos

Mensaje por **msc hotline sat** » 10 Abr 2008, 14:14

Recibida la muestra, resulta ser nueva variante de SDBOT que pasamos a implementar en la verison de hoy del ELITRIIP 4.61

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 10-04-2008

papageno · Mensaje por **papageno** » 11 Abr 2008, 11:30

Pues he pasado la nueva versión del ELIPTRIIP y me ha dado esto:

Fri Apr 11 08:42:18 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Apr 11 08:42:22 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4283

Nº Total de Ficheros: 52341

Nº de Ficheros Analizados: 14003

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Antes de pasárselo el archivo foto_011 estaba en C:\Documents and Settings\Nicasio\Configuración local\Temp después de pasárselo (llevo ya dos horas) no hay señales de él.

papageno · Mensaje por **papageno** » 14 Abr 2008, 11:31

Creo que el problema ya está resuelto, no he vuelto a tener problemas y no veo señal del virus.

Muchísimas gracias

Mensaje por **msc hotline sat** » 14 Abr 2008, 11:53

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 14-04-2008

Virus messenger (SOLUCIONADO)

Virus messenger (SOLUCIONADO)

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger

Re: Virus messenger