nuevo virus msn

[papageno]

Hola, hace algo más de una semana creí solucionado el problema del virus del mesenger, pero ahora a vuelto y más agresivo sin yo ejecutar ningún archivo raro.

le he pasado las últimas versiones de vuestros progrmas y me da esto:

Fri Apr 25 11:50:18 2008

EliTriIP v4.64 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Apr 25 11:50:20 2008

EliTriIP v4.64 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4528

Nº Total de Ficheros: 50093

Nº de Ficheros Analizados: 13631

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Apr 25 12:08:23 2008

EliStartPage v16.16 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (P)

Shellexecute=copy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Apr 25 12:08:44 2008

EliStartPage v16.16 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4518

Nº Total de Ficheros: 46870

Nº de Ficheros Analizados: 14641

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



En archivos temporales aparece un comprimido con el nombre foto-nuevo-9 que es el p**o virus.

Te lo voy a mandar por correo.

Gracias

[msc hotline sat]

Pues ya has visto:



Detectado AUTORUN.INF en la Unidad (P)

Shellexecute=copy.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



Es un virus que se propaga por pendrive, quizas este no te llegó por MSN como piensas ...



Cuando lo recibamos lo analizaremos, pero recuerda enviarlo como indicamos para este foro, a zonavirus@satinfo.es:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 25-04-2008





NOTA: Y tre recordamos la conveniencia de vacunar ordenador y pendrives con el ELIPEN...



ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp



ms.

[papageno]

HOla,te he enviado el virus de hoy, también me aparece un fichero 60.exe, no se si tendrá algo que ver.

Saludos

[msc hotline sat]

Analizado el fichero resulta ser una nueva variante del SDBOT/MSN, que pasamos a controlar con el ELITRIIP 4.66 de hoy



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 28-04-2008

[papageno]

Hola, ya le he explorado con el programa.

Este es el resultado:

Tue Apr 29 10:33:18 2008

EliTriIP v4.66 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Apr 29 10:33:20 2008

EliTriIP v4.66 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4543

Nº Total de Ficheros: 51027

Nº de Ficheros Analizados: 13904

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Saludos

[msc hotline sat]

Pues no detectamos ningun fichero que corresponda al ejecutable de la nueva variante controlada de SDBOT/MSN



Posiblemente aun no los has desempaquetado, y esatarán en ZIP, que no son objeto de nuestra exploracion... En tal caso elimina directamente el ficherro ZIP en cuestion:



[b][i]foto-nuevo-9 .zip[/i][/b]



Este ZIP desempaquetaría este fichero:



[b][i]foto-nuevo-09.JPEG-www.myspace.com[/i][/b]





que es el ejecutable que contiene dicho nuevo virus, y que hemos pasado a controlar.



Si no lo has detectado es que no lo tienes, asi que si es el caso, elimina el ZIP indicado y listos.



Confirmanos que realmente sea asi, pues si tuvieras dicho fichero "[b][i]foto-nuevo-09.JPEG-www.myspace.com[/i][/b]" y no lo detectaramos, es que se trataría de otra variante !



saludos



ms, 29-04-2008





NOTA: Este otro que mencionas [b][i]"también me aparece un fichero 60.exe"[/i][/b], si aun está vivo, envianoslo tambien y lo analizaremos. ms.

[papageno]

hola, el archivo foto-nuevo-9 .zip de momento no aparece desde que le pasé el antivirus.

Aparece un archivo ejecutable 61 que os lo he mandao por correo comprimido.

Saludos

[msc hotline sat]

Recibida la muestra de esta nueva variante de virus, que va cambiando de nombre de fichero, parece que incrementando el número cada vez que es ejecutado ???, pues antes tenías 60.exe, y ahora es 61.exe y al subirlo al Virus Total hemos visto que ya habian analizado un 48,exe con igual checksum...



Posteamos lo que ofrece este analisis previo, y esta tarde miraremos de monitorizarlo e implementar su control y eliminacion en nuestras utilidades, ya veremos cual, pues aun no se si es del tipo SDBOT o del tipo PWS, ya que los nombres que le asignan los diferentes antivirus que lo controlan, no lo especifican:


[quote="VirusTotal"]File 61.exe received on 04.29.2008 14:59:59 (CET)

Result: 11/31 (35.49%)



Antivirus Version Last Update Result

AhnLab-V3 2008.4.29.2 2008.04.29 -

AntiVir 7.8.0.10 2008.04.29 TR/Crypt.XPACK.Gen

Authentium 4.93.8 2008.04.27 -

Avast 4.8.1169.0 2008.04.29 -

AVG 7.5.0.516 2008.04.29 Win32/CryptExe

BitDefender 7.2 2008.04.29 Packer.RLPack.D

CAT-QuickHeal 9.50 2008.04.28 (Suspicious) - DNAScan

ClamAV 0.92.1 2008.04.29 -

DrWeb 4.44.0.09170 2008.04.29 -

eSafe 7.0.15.0 2008.04.28 suspicious Trojan/Worm

eTrust-Vet 31.3.5744 2008.04.29 -

Ewido 4.0 2008.04.29 -

F-Prot 4.4.2.54 2008.04.28 -

F-Secure 6.70.13260.0 2008.04.29 -

FileAdvisor 1 2008.04.29 -

Fortinet 3.14.0.0 2008.04.29 -

Ikarus T3.1.1.26 2008.04.29 Virus.Win32.Agent.BPB

Kaspersky 7.0.0.125 2008.04.29 -

McAfee 5283 2008.04.28 -

Microsoft 1.3408 2008.04.22 -

NOD32v2 3062 2008.04.29 -

Norman 5.80.02 2008.04.29 W32/Smalltroj.EEMD

Panda 9.0.0.4 2008.04.29 Suspicious file

Rising 20.42.12.00 2008.04.29 -

Sophos 4.28.0 2008.04.29 Sus/ComPack-J

Sunbelt 3.0.1056.0 2008.04.17 -

Symantec 10 2008.04.29 -

TheHacker 6.2.92.296 2008.04.29 -

VBA32 3.12.6.5 2008.04.29 -

VirusBuster 4.3.26:9 2008.04.28 Packed/Execryptor

Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Crypt.XPACK.Gen

Additional information

File size: 59295 bytes

MD5...: cef6c731dbabebce36987683a64b0ec0

SHA1..: f4b1a67b00e23bb0c28815154fe9f9feefca72f4

SHA256: 2a82a6b34e10fbbd2e5ef3bcbf4daa26374d1ebdaed6dbb69611b836a9d99099

SHA512: b808faf266fc9d2d304a69c4029f215c13de0d66224c71d87bb75c57ef46160d

c8a2ad572530d940f780d6969425b164d62cbd0119336855aaca1378c9dade9c

PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h1)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x42857b

timedatestamp.....: 0x472db766 (Sun Nov 04 12:13:26 2007)

machinetype.......: 0x14c (I386)



( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.packed 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.11ca92r 0x12000 0x7000 0x6d9b 7.93 fce9d9f3582f4b1fe2c06a70fe1d6910

pmslbc1q 0x19000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

77qaaxeb 0x1a000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

b7apsvcy 0x21000 0x8000 0x759f 7.98 7a2c6c38c9ee8ccd0626043e4ad6fdca



( 0 imports )



( 0 exports )



packers: EXECryptor, RLPack

packers: Execryptor [/quote]

Curiosamente los principales antivirus aun no lo detectan... Enviaremos muestra del mismo directamente a McAfee e indirectamente a todos los demás del testeo que no lo controlan.



saludos



ms, 29-04-2008

[msc hotline sat]

No hemos podido monitorizar la muestra porque nos ha dado un error de DR WATSON, pero implementamos por cadenas su control y eliminacion en el ELISTARA de hoy 16.19



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 29-04-2008

[papageno]

Hola, le he pasado el antivirus, versión 16.20 y esto me cuenta:

Fri May 02 08:47:16 2008

EliStartPage v16.16 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "NvGraphicsInterface"="C:\DOCUME~1\Nicasio\CONFIG~1\Temp\61.exe"



Fri May 02 08:48:19 2008

EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 02 08:48:42 2008

EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4557

Nº Total de Ficheros: 46810

Nº de Ficheros Analizados: 14717

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Saludos

[msc hotline sat]

Parece que el fichero va cambiando de nombre.



La clave que lanzaba al 61.exe ya ha sido eliminada, pero asegurate que no hay 62, 63.... u otro posterior, y que al reiniciar se vaya incrementando el numero y encriptando diferente, pues por cadenas no detectamos ya el fichero que buscábamos ...



Si encuentras alguno mas, nos lo envias, a ver si este resulta operativo y podemos monitorizarlo y ver lo que hace.



saludos



ms, 2-05-2008