mensaje virusscan

[msc hotline sat]

Pues de entrada renombra la extension de este fichero a .VIR:



C:\Documents and Settings\All Users\Datos de programa\Meow Intra Bait Face\[b][i]Bias acid.exe[/i][/b]



luego lo subes al VirusTotal, https://www.virustotal.com/es/ , y nos posteas el informe resultamte



Si mas de un antivirus lo reconoce como virus, nos lo envias para analizar, y sino, vuelves a renombrar dicho fichero a su extension original.



En cualquier caso seguiremos hasta que logremos eliminar estos molestos popups.



saludos



ms, 24 de Agosto de 2008





NOTA: Posiblemente sea una nueva variante de Swizzor, cuyo control y eliminacion pasaremos a implementar en nuestras utilidades, de lo cual informaremos, pero manteniendo su extension a .VIR ya no se cargará en memoria a partir del proximo reinicio. ms.

[agustingarcia8]

Aquí les mando el informe de VirusTotal, que encontró infecciones. También envié el archivo. Saludos, gracias de nuevo.



Análisis del archivo Bias_acid.vir recibido el 24.08.2008 20:31:45 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 7/35 (20%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: ___.

Se estima que tendrá que esperar entre ___ y ___

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Compactar Imprimir resultados Imprimir resultados

La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.



Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:



Motor antivirus Versión Última actualización Resultado

AntiVir 7.8.1.23 2008.08.24 TR/Dldr.Swizzor.Gen

Authentium 5.1.0.4 2008.08.24 -

Avast 4.8.1195.0 2008.08.23 Win32:Swizzor

AVG 8.0.0.161 2008.08.24 -

BitDefender 7.2 2008.08.24 -

CAT-QuickHeal 9.50 2008.08.22 Win32.TrojanDownloader.Swizzor.4

ClamAV 0.93.1 2008.08.24 -

DrWeb 4.44.0.09170 2008.08.24 Trojan.Swizzor.based

eSafe 7.0.17.0 2008.08.24 -

eTrust-Vet 31.6.6044 2008.08.23 -

Ewido 4.0 2008.08.24 -

F-Prot 4.4.4.56 2008.08.24 -

F-Secure 7.60.13501.0 2008.08.24 -

Fortinet 3.14.0.0 2008.08.24 -

GData 2.0.7306.1023 2008.08.20 Win32:Swizzor

Ikarus T3.1.1.34.0 2008.08.24 -

K7AntiVirus 7.10.427 2008.08.23 -

Kaspersky 7.0.0.125 2008.08.24 -

McAfee 5368 2008.08.22 -

Microsoft 1.3807 2008.08.24 -

NOD32v2 3382 2008.08.23 -

Norman 5.80.02 2008.08.22 -

Panda 9.0.0.4 2008.08.24 -

PCTools 4.4.2.0 2008.08.24 -

Prevx1 V2 2008.08.24 -

Rising 20.58.62.00 2008.08.24 Suspicious.Trojan.Win32.Swizzor.GEN

Sophos 4.32.0 2008.08.24 -

Sunbelt 3.1.1575.1 2008.08.23 -

Symantec 10 2008.08.24 -

TheHacker 6.3.0.6.060 2008.08.23 -

TrendMicro 8.700.0.1004 2008.08.23 -

VBA32 3.12.8.4 2008.08.23 -

ViRobot 2008.8.22.1346 2008.08.22 -

VirusBuster 4.5.11.0 2008.08.24 -

Webwasher-Gateway 6.6.2 2008.08.24 Trojan.Dldr.Swizzor.Gen

Información adicional

Tamano archivo: 519680 bytes

MD5...: 4dc95b4f6b5aaf7f46783e965c96a41b

SHA1..: 3ab63a018df94fbea12a1e706c4688cb03890df5

SHA256: dc43357b38c6bced1ae4464fba3e0159eeb36fa926226a1d86b53e8fb585cd6d

SHA512: 0bfdf99f3ceb19200208c2136e977697d64e1a0c6e6f13116da6d4037f7c51bf

b52f8af8b7251e95612fbda9ff741cb02bf10df99027231c1ab209019c61e048

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x406acc

timedatestamp.....: 0x47159524 (Wed Oct 17 04:52:52 2007)

machinetype.......: 0x14c (I386)



( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x51547 0x51600 7.62 44fdce2c296bff2cf32201466f12c1df

.rdata 0x53000 0x13524 0xd800 7.79 d53a0122ba903c203b30d4e587f689d0

.data 0x67000 0x1c71c 0x1d000 7.30 cc03c544e4b9d3eb27e4a0f3fa1e7dc2

.rsrc 0x84000 0x2b4e 0x2c00 4.94 7e40bc8840d012dce3ff2d8c2f8db49f



( 7 imports )

> comdlg32.dll: ChooseColorA, GetSaveFileNameA

> GDI32.dll: CreateDCW, CreateEllipticRgn, CreateICW, GetGlyphOutlineW, CreateEnhMetaFileA, RemoveFontResourceW, ExtCreateRegion, CreateDiscardableBitmap, GetSystemPaletteEntries, CreateFontIndirectW, GetCharWidthW, DeleteMetaFile, GetCharABCWidthsFloatA, GetSystemPaletteUse, GetMetaFileW, GetBrushOrgEx, SetICMProfileW, SetMagicColors, CreateRectRgnIndirect, GetKerningPairsA, FlattenPath, CloseMetaFile, GetTextFaceA, GetPolyFillMode

> USER32.dll: IsCharLowerW, CharToOemBuffA, IsCharAlphaW, DrawIcon, CascadeWindows, EndDialog, SendMessageW, SetWindowsHookExW, CreateWindowExW, TranslateMessage, RegisterClassA, GetTopWindow, MessageBoxW, DestroyCursor, EndDeferWindowPos, ShowWindow, RegisterClassExA, OemToCharA, GetClassNameW, SetWindowPlacement, IsCharLowerA

> WININET.dll: InternetGetCookieW, GopherFindFirstFileA, InternetSetDialStateA, InternetCombineUrlW, FreeUrlCacheSpaceW

> comctl32.dll: InitCommonControlsEx

> KERNEL32.dll: GetModuleFileNameA, GetConsoleMode, CreateFileA, SetConsoleCtrlHandler, LoadLibraryA, lstrcat, GetOEMCP, ExitProcess, FreeLibrary, IsValidCodePage, MultiByteToWideChar, TerminateProcess, GetCurrentThread, GetConsoleOutputCP, QueryPerformanceCounter, UnlockFile, GetCommandLineW, GetEnvironmentStrings, GetTimeZoneInformation, GetCurrentThreadId, GetModuleFileNameW, GetLocaleInfoA, GetModuleHandleA, HeapFree, OpenMutexA, SetUnhandledExceptionFilter, HeapReAlloc, GetUserDefaultLCID, CompareStringA, GetLastError, CreateEventA, SetLastError, GetFileType, GetTickCount, LeaveCriticalSection, LCMapStringA, InterlockedDecrement, GetProcessHeap, GetConsoleCP, GetVersionExA, EnumSystemLocalesA, WriteFile, DeleteCriticalSection, LCMapStringW, GetACP, GetDiskFreeSpaceA, SetEnvironmentVariableA, SetHandleCount, UnhandledExceptionFilter, GetCPInfo, VirtualFree, IsValidLocale, GetStartupInfoW, GetSystemTimeAsFileTime, ReadFile, GetEnvironmentStringsW, GetCurrentProcess, GetTimeFormatA, WriteConsoleW, CreateMutexA, GetProcAddress, SetStdHandle, GetDateFormatA, FlushFileBuffers, RemoveDirectoryA, GetCommandLineA, Sleep, IsDebuggerPresent, TlsGetValue, TlsSetValue, HeapSize, FreeEnvironmentStringsW, SetFilePointer, InitializeCriticalSection, InterlockedIncrement, HeapAlloc, SetEndOfFile, EnterCriticalSection, CloseHandle, GetStringTypeW, TlsFree, InterlockedExchange, GetStartupInfoA, TlsAlloc, VirtualQuery, HeapDestroy, VirtualAlloc, HeapCreate, CompareStringW, GetStringTypeA, ReadConsoleW, WideCharToMultiByte, GetCurrentProcessId, GetStdHandle, WriteConsoleA, FreeEnvironmentStringsA, GetLocaleInfoW, RtlUnwind

> SHELL32.dll: SHFormatDrive



( 0 exports )

packers (Kaspersky): PE_Patch

[msc hotline sat]

Efectivamente, aunque solo lo detecten 7 de los 35 antivirus del testeo, y ninguno de los principales antivirus lo conozcan todavía, como por ejemplo:



AVG 8.0.0.161 2008.08.24 -

BitDefender 7.2 2008.08.24 -

ClamAV 0.93.1 2008.08.24 -

eSafe 7.0.17.0 2008.08.24 -

eTrust-Vet 31.6.6044 2008.08.23 -

Ewido 4.0 2008.08.24 -

F-Prot 4.4.4.56 2008.08.24 -

F-Secure 7.60.13501.0 2008.08.24 -

Fortinet 3.14.0.0 2008.08.24 -

Ikarus T3.1.1.34.0 2008.08.24 -

K7AntiVirus 7.10.427 2008.08.23 -

Kaspersky 7.0.0.125 2008.08.24 -

McAfee 5368 2008.08.22 -

Microsoft 1.3807 2008.08.24 -

NOD32v2 3382 2008.08.23 -

Norman 5.80.02 2008.08.22 -

Panda 9.0.0.4 2008.08.24 -

PCTools 4.4.2.0 2008.08.24 -

Prevx1 V2 2008.08.24 -

Sophos 4.32.0 2008.08.24 -

Sunbelt 3.1.1575.1 2008.08.23 -

Symantec 10 2008.08.24 -

TheHacker 6.3.0.6.060 2008.08.23 -

TrendMicro 8.700.0.1004 2008.08.23 -



por citar algunos, como pensabamos se tarta de una variante del adware swizzor, que le puede ocasionar cantidad de popups en el arranque (lo que lo detectan lo identifican como tal)



Esperamos que a partir del siguiente reinicio ya no incordiará, y tras analizarlo, lo controlaremos con el ELISTARA, como otros muchos SWIZZORS, de lo cual informaremos



Diganos si persiste el problema o ya está "aparcado", gracias



saludos



ms, 24 de Agosto de 2008

[agustingarcia8]

¡¡¡Perfecto!!! Reinicié y no apareció el mensaje tan mentado. Su trabajo ha sido increíble, muchísimas gracias por la dedicación y el esfuerzo. Realmente lo que hacen en este sitio es fantástico, estoy muy agradecido. ¿Ya no aparecerá de nuevo? Digo, por ejemplo mañana al encender el ordenador.

Nuevamente, les agradezco mucho la ayuda.

Saludos,

Agustín.

[msc hotline sat]

De momento está aparcado, y ya es inocuo, cuando volvamos de vacaciones, en Setiembre, procesaremos en SATINFO las muestras recibidas y en un proximo ELISTARA se detectará y eliminará esta variante.



Lo malo es que igual que te entró este puede entrar otra variante del mismo sitio que visitaste y te infectaste, y de malwares hay mas de 100 nuevos cada día...



Dejamos el Tema aparcado hasta entonces.



saludos



ms, 25 de Agosto de 2008

[agustingarcia8]

Me parece perfecto. Muchas gracias, y felices vacaciones!

Saludos,

Agustín.

[msc hotline sat]

Igualmente !



ms, 26 de Agosto de 2008