MI PC NO SE APAGA! (SOLUCIONADO)

[nothing]

Hola!



Hace unos dias que mi pc le cuesta un montón en apagarse, además se me modificó datos de configuración de mi antivirus sin yo haber canviado nada. Os envio dos archivos sospechosos para que procedan a su analisis.



Muchas gracias!

[msc hotline sat]

Analizaremos dichos ficheros e informaremos, pero prueba de arrancar en modo seguro y dinos si asi persiste el problema o ya se apaga bien, con lo que sabremos si es problema del sistema o de una aplicacion opcional, y obraremos en consecuencia.



saludos



ms, 23-05-2008

[msc hotline sat]

Sobre la priemar de las muestras enviadas, el scrcwu32.* , un analisis previo detecta un GOLDUN, y al respecto de dicha familia, hemos encontrado la siguiente informacion, aunque no sea especiuficamente de dicha variante:




[quote]Spy.Goldun.BA. Roba cuentas de usuarios de E-gold



Nombre: Spy.Goldun.BA

Nombre NOD32: Win32/Spy.Goldun.BA

Tipo: Caballo de Troya

Alias: Goldun.BA, Spy.Goldun.BA, Dropped:Trojan.Spy.Goldun.1.Gen, Malware.a!zip, Posible-Worm-Zip-DobleExtension, PSW.Goldun.AP, Troj/Goldun-W, Trojan.PWS.GoldSpy, Trojan.Spy.Goldun.AH, Trojan.Spy.Goldun.Ba, Trojan-Spy.Win32.Goldun.ba, Win32/Spy.Goldun.BA

Fecha: 8/jun/05

Plataforma: Windows 32-bit

Tamaño: 12,631 bytes (FSG)



Este troyano intenta acceder a las cuentas de los usuarios de E-Gold.com, un sitio dedicado al manejo de transacciones comerciales en lingotes de oro.



En un sistema infectado, cuando el usuario intenta acceder a la página de ingreso (http:/ /e-gold .com/acct/login.html), el troyano accede a la misma página sin conocimiento del usuario, e ingresa los mismos datos que el usuario cree estar ingresando. Luego, el troyano puede transferir dinero desde la cuenta accedida a otra diferente.



El troyano también puede capturar y almacenar los datos ingresados desde el teclado (contraseñas, etc.).



El troyano parece haber sido distribuido por medio de spam, en mensajes como el siguiente:



Datos adjuntos: screen.zip



Texto del mensaje:



Hello,

I have transferred $1070 to your e-gold account through

the First USA Bank. The scanned check is attached to the

letter. Please, confirm reception of my payment by mail

or fax which I have specified in the previous letter.

Sincerely,

Peter Gabriel.

(See attached file: screen.zip)



El archivo SCREEN.ZIP contiene el ejecutable del troyano con el siguiente nombre:



screen.jpg [caracteres en blanco] .exe



Cuando se ejecuta, libera el siguiente archivo en la carpeta del sistema:



c:\windows\system32\destin.dll



Luego, intentará registrar dicho archivo como un objeto COM del tipo BHO (Browser Helper Object), para que se ejecute en cada ejecución del Internet Explorer. Para ello crea las siguientes entradas:



HKCR\CLSID

\{80523A67-ABCD-CF37-3352-54DF4479BDF1}\script0001



HKCR\CLSID

\{80523A67-ABCD-CF37-3352-54DF4479BDF1}\InprocServer32



HKLM\Software\Microsoft\Windows

\CurrentVersion\Explorer\Browser Helper Objects\

{80523A67-ABCD-CF37-3352-54DF4479BDF1}





Reparación manual



NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.





Sobre el componente troyano



Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.



ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).









Antivirus



Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:



1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:



Cómo iniciar su computadora en Modo a prueba de fallos.

Iniciar en modo prueba de fallos



2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.



3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.



4. Borre todos los archivos detectados como infectados.





Borrar manualmente archivos agregados por el virus



Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".



Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".





Editar el registro



Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.



1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER



2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:



HKEY_CLASSES_ROOT

\CLSID

\{80523A67-ABCD-CF37-3352-54DF4479BDF1}



3. Haga clic en la carpeta "{80523A67-ABCD-CF37-3352-54DF4479BDF1}" y bórrela.



4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\Software

\Microsoft

\Windows

\CurrentVersion

\Explorer

\Browser Helper Objects

\{80523A67-ABCD-CF37-3352-54DF4479BDF1}



5. Haga clic en la carpeta "{80523A67-ABCD-CF37-3352-54DF4479BDF1}" y bórrela.



6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.



7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).





Información adicional



Cambio de contraseñas



En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.[/quote]

Parece que por la estructura de esta informacion pudiera ser de VSAntivirus, vamos a ver si alli encontramos mas infoimacion...



Pues sí, hay allí hay diferentes descripciones de variantes de dicha familia, pero todas se basan en robo de cuentas de E-Gold con el fin de acceder a ellas y hacer transferencias...:



http://search.freefind.com/find.html?query=goldun&t=s&lang=es&mode=all&pid=r&id=8696148



Hoy implementaremos el control y eliminacion de la familia de la muestra enviada en el ELISTARA 16.34, pruebelo y nos informa si ademas de eliminar el malware, se soluciona lo del apagado.



saludos



ms, 23-05-2008

[nothing]

[quote="msc hotline sat"]Analizaremos dichos ficheros e informaremos, pero prueba de arrancar en modo seguro y dinos si asi persiste el problema o ya se apaga bien, con lo que sabremos si es problema del sistema o de una aplicacion opcional, y obraremos en consecuencia.



saludos



ms, 23-05-2008[/quote]



Cuando entro en modo seguro, cierra bién. En modo normal, tarda mucho en cerrarse.



Gracias!



Por cierto, he ejecutado la nueva versión de elistara 16.34, y ha localizado y eliminado uno de los archivos sospechosos!

Fri May 23 17:00:38 2008

EliStartPage v16.34 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 23 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SCRCWU32.VIR --> Eliminado, Spy.Goldun.AII



Nº Total de Directorios: 3351

Nº Total de Ficheros: 48479

Nº de Ficheros Analizados: 14019

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Cuando puedan anlizar los otros archivos que envié, ya me direis que tengo de hacer.



Por cierto, no pude borrar esta carpeta porque me parece que no está en mi ordenador:



Editar el registro



Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.



1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER



2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:



HKEY_CLASSES_ROOT

\CLSID

\{80523A67-ABCD-CF37-3352-54DF4479BDF1}



3. Haga clic en la carpeta "{80523A67-ABCD-CF37-3352-54DF4479BDF1}" y bórrela.



4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\Software

\Microsoft

\Windows

\CurrentVersion

\Explorer

\Browser Helper Objects

\{80523A67-ABCD-CF37-3352-54DF4479BDF1}



5. Haga clic en la carpeta "{80523A67-ABCD-CF37-3352-54DF4479BDF1}" y bórrela.



6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.



7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).





Muchas gracias!

[msc hotline sat]

Claro que no encontró la carpeta, por que el ELISTARA ya la ha eliminado !



Lo relativo al Goldun ya está solucionado, ahora solo quedan los demas que dice haber enviado, y que se analizarn el lunes, cuando volvamos a trabajar en SATINFO



saludos



ms, 23-05-2008

[nothing]

o.k.

[msc hotline sat]

Pues lo unico monitorizable es un SVCHOST.EXE que es el del sistema operativo, y es normal, claro.



Los demás son de texto, que no se analizan...



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Con ello damos por solucionado el Tema y procedemos a cerrarlo



si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 26-05-2008