Virus Sality (CERRADO)

[colasa]

Como elimino el virus "Sality" ya que me infecta todos los ejecutables!, espero su respuesta.

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Saludos.

[msc hotline sat]

Dice "[b][i]el virus "Sality" ya que me infecta todos los ejecutables!, [/i][/b]"





Pues no conocemos este Sality infector como dice, lo normal es que sea un gusano, que crea algunos ficheros y queda residente con sus peligrosas funciones de backdoor y keylogger como indica este artioculo de VSantivirus:


[quote="VSantivirus"]Sality.NAE. Crea acceso remoto y borra antivirus



VSantivirus No. 2043 Año 10, sábado 11 de febrero de 2006



Sality.NAE. Crea acceso remoto y borra antivirus

http://www.vsantivirus.com/sality-nae.htm



Nombre: Sality.NAE

Nombre NOD32: Win32/Sality.NAE

Tipo: Gusano de Internet y caballo de Troya

Alias: Sality.NAE, W32.HLLP.Sality, Win32/Sality.B!DLL!Trojan, Win32/Sality.NAE

Fecha: 10/feb/06

Plataforma: Windows 32-bit

Tamaño: 20 Kbytes (variable)



Se trata de un caballo de Troya con capacidades de acceso por puerta trasera (trojan backdoor), y keylogger (captura de información ingresada por el teclado).



También puede obtener información crítica del equipo infectado (usuarios, contraseñas, etc.). Algunas variantes poseen características de virus infector de ejecutables.



Puede borrar archivos relacionados con algunas aplicaciones antivirus y también cortafuegos.



Cuando se ejecuta, crea algunos de los siguientes archivos:

\temp\oledsp32.dll

\temp\sysdll.dll

\temp\syslib32.dll

c:\windows\system32\oledsp32.dll

c:\windows\system32\sysdll.dll

c:\windows\system32\syslib32.dll



NOTA 1: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.



NOTA 2: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).



El troyano es capaz de capturar la siguiente información:



- Archivos de la aplicación WebMoney

- Configuración de la computadora (memoria, discos, etc.)

- Contraseñas de recursos compartidos

- Cuentas de acceso telefónico a redes

- Dirección IP, nombre del host y nombres de usuarios

- Programas que se ejecutan al inicio

- Versión instalada de Windows, llave de producto, etc.



La información capturada, es almacenada de forma encriptada en el siguiente archivo:



c:\windows\system32\TFTempCache



Luego la misma puede ser enviada a diferentes direcciones electrónicas ubicadas en Rusia, utilizando el siguiente servidor SMTP:



msx.mail.ru



Los mensajes que envía, tienen las siguientes características:



De: CyberMazafaka@mailru.com

Para: sector2007@list.ru, bespontovik@list.ru

Asunto: Administrator

Datos adjuntos: readme.tjc; TFTempCache.tjc



El troyano abre una puerta trasera y se conecta al siguiente servidor de IRC, desde donde puede recibir instrucciones de un usuario remoto:



rinet.msk.wenet.ru



Algunas de las posibles acciones que el atacante podrá efectuar en el PC infectado:



- Descargar, instalar y ejecutar nuevos programas

- Enviar información robada a direcciones remotas

- Finalizar y borrar software antivirus

- Instalar un servidor proxy



En ocasiones, también infecta archivos ejecutables, agregando su propio código al principio de los mismos. Para ello, busca aquellos programas que figuren en las siguientes claves del registro:



HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



Cuando actúa como infector de ejecutables, también puede borrar archivos con las siguientes extensiones:



.avc

.key

.vdb



Además, intenta borrar archivos cuyos nombres comiencen con las siguientes cadenas de texto (esto incluye conocidos antivirus y cortafuegos):



Aler

Anda

Anti

Avp

Clean

Guar

Kav

Nod

Outp

Scan

Total

Tren

Troj

Zone



El troyano puede modificar el archivo SYSTEM.INI en la carpeta de Windows (9x y Me), agregando las siguientes entradas:



[TFTempCache]

id=[valor]

RtlMoveMeory=[valor]

PING=[valor]

TIME=[valor]



Cuando la fecha es 1 de mayo, o el día 10 o 12 de cualquier mes, y las horas son iguales a los minutos, entonces puede mostrar una ventana con el siguiente texto:



Win32.HLLP.Kuku v[número]

<<<<<Hey, Lamer! Say "Bye-bye" to your data! >>>>>



El troyano crea el siguiente mutex para no ejecutarse más de una vez en memoria al mismo tiempo:



KUKU300a



Para comprobar la conectividad con Internet, intenta conectarse al dominio de Microsoft.com. [/quote]



Por ello, ademas de lo indicado por claudia34, le pedimos que nos envie alguno de los ficheros que detecta infectados con este virus, para analizar y obrar en consecuencia



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 21-2-2008

[william1054]

yo tenia el sality en mi computadora por que lo lleve ahi de un cafeinternet donde lo tenian y aun con elipen se entro asi como si nada creo un autorun.pif e infecto todo lo que terminava en .exe el avast lo reconocio tuve que instalar 4 programas pff que em hizo dar miedo.

No se si todavia lo tengo por que intento cerrar el avast.

Alguien sabe los sintomas de este virus



saludos

[msc hotline sat]

En primer lugar, nada que ver el Sality con virus de pendrive, estos infectan ejecutando el AUTORUN.INF , no un .PIF que es un ejecutable mas como los EXE y que tenía el ordenador del CYBER entre otros muchos ficheros infectados por dicho virus, pues el SALITY es un virus infector .



Así que nada que ver con el ELIPEN !!! que como maximo lo que hiciste fue infectarlo con dicho virus si lo tenías en memoria, pero afortunadamente nuestras utilidades estan protegidas por checksum y si ha sido modificado lo indicará. En tal caso, descarga de nuevo nuestras utilidades despues de eliminar el SALITY arrancando en modo seguro y lanzando asi tu antivirus actualizado.



Y en segundo lugar, no se debe postear en Temas de mas de 15 días,



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382



y este es de hace 8 meses... , asi que cerramos este Tema y si quieres algo mas, abre un Tema nuevo al respecto, gracias



saludos



ms, 18-10-2008