SOBRE DETECCION DE EXPLOIT MYDOOM EN FICHERO PEERE32.EXE

Mensaje por **msc hotline sat** » 31 Mar 2004, 16:18

A raiz de que un forero tenía problemas con que se cerraba el explorador de tareas, vimos que entre ellas tenía en poceso la de una aplicación PEERE32.EXE, que pedimos nos enviara, y una vez analizada se detectó con McAfee que existía el EXPLOIT.DCOM, el cual una vez analizado resulta ser un terminador de tareas, desde la del mismo explorador de ellas, hasta la de edición del REGEDIT por ejemplo.

Si bien manualmente eliminamos dicho fichero y con el BUSCAREG eliminamos la clave de carga, para proximos casos, al ser reconocido por otros antivirus como una variante de Agobot i Gaobot, lo hemos añadido a la lista de los procesos y gusanos que elimina la ejecución del ELIRPCA, por lo que desde la v 3.7 de esta utilidad, ya disponible en ZONAVIRUS, su ejecución, además de lo que ya hacía anteriormente, detendrá dicho proceso en memoria, restaurará las claves al respecto y eliminará dicho fichero.

Cabe decir que no hemos tenido mas incidencias al respecto, pero quizás es porque al no detectarse por otros antivirus, los usuarios no saben que lo tienen.

Si hay ótros casos similares en el foro, se sugiere utilizar el ELIRPCA version 3.7 o superior.

[quote]
PARA ELIMINACION DE GUSANOS QUE ENTRAN POR AGUJERO RPC/DCOM Y COMPROBACION EXISTENCIA PARCHE MS03-039:

http://www.zonavirus.com/descargas/EliRPCA.exe

[/quote]

saludos

ms, 31-03-2004

Perix · Mensaje por **Perix** » 03 Abr 2004, 22:14

Hola, creo que tengo un problema similar al que comentas. Los sintomas son:

* Problemas para entrar al administrador de tareas y al regedit (en ambos casos me aparece la pantalla y al instante desaparece)

* Desactivación del firewall (tenía kerio y se volvió loco y traté de instalar el zone alarm y tampoco).

* Problemas con el antivirus (tengo el Titanium de Panda y me desactiva las actualizaciones automáticas)

He pasado el antivirus y nada, también he pasado Spybot y Ad-aware y tampoco y por último he ejecutado la vacuna que proponeis ELIRPCA y sigo en las mismas.

Alguna otra sugerencia ??

Mushas gracias

Mensaje por **cañera** » 03 Abr 2004, 23:51

perix intentalo como se lleva a cabo en este post;

https://foros.zonavirus.com/viewtopic.php?t=46

cuentanos como te fue.

Perix · Mensaje por **Perix** » 04 Abr 2004, 13:45

Gracias cañera por la info. pero este bicho parece ser más resistente de lo previsto.

Pasé el parche, entré en modo de pruebas, ejecute de nuevo EliRPCA un par de veces y lancé de nuevo el antivirus y los spyware.

Por último lancé los parches críticos que me aparecen en WindowsUpdate y ... seguimos en las mismas.

A alguien se le ocurre alguna otra idea ??

Gracias

Mensaje por **maura63** » 04 Abr 2004, 19:11

Prueba esta utilidad de Msc

Para eliminar virus SIMCSS, Wintrim, Magicon, Downloader.DA, que modifica varias claves de registro y crea gusanos en carpetas WINTRIM, SIMCSS y NAVPMC en el directorio de windows, en las que crea varios ficheros gusano. Esta utilidad detiene los correspondientes procesos víricos en marcha, restaura las claves de registro modificadas por el virus y elimina los gusanos y las carpetas creadas por el virus.

Desde la versión 1.2 se controla además el MSLAGENT de la misma familia (SIMCSS.B o DOWNLOADER.DA.B)

http://www.zonavirus.com/descargas/EliSimcA.exe

Saludos

maura63

Perix · Mensaje por **Perix** » 04 Abr 2004, 21:04

Nada maura !!. No detectado troyano SIMCSS !!

Por si sirve de ayuda he visto que archivos como el taskmgr o el regedit están por triplicado (en Winnt, en Winnt\ServicePackfiles\i386 y en Winnt\$NtServicePackUninstall$).

Renombrando el regedit.exe a reg.exe me deja acceder a él.

Salu2

Mensaje por **maura63** » 04 Abr 2004, 21:20

Prueba esta otra herramienta

ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)

ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICIKN DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEdIT POR SI ESTUVIERA RESTRINGIDA SU EDICION.

http://www.zonavirus.com/programas/restaurar_registro/EliRestr.vbs

Saludos

maura63

Perix · Mensaje por **Perix** » 04 Abr 2004, 22:35

Nada Maura. Gracias por el intento pero seguimos igual :cry:

Mensaje por **cañera** » 05 Abr 2004, 03:24

perix te doy otra solución;

http://www.vsantivirus.com/mockbot-a.htm

según lei este virus desactiva tanto el firewall como el antivirus.

hechale una ojeada.

cuentanos como te fue.

Mensaje por **msc hotline sat** » 05 Abr 2004, 11:40

Desde la version 3.1 del 2 de Marzo, se controla con el ELIRPCA.EXE la presencia del MSNET.EXE por si se hubiera valido de dicho agujero para entrar el virus MOCKBOT.A, por lo que si el ELIRPCA es el actual, v 3.7, ya debería detectarse y eliminarse.

Vea si al ejecutar el ELIRPCA.EXE, la versión es la actual, y si no, vuelva a bajarselo de:

http://www.zonavirus.com/descargas/EliRPCA.exe

y ejecutarlo.

Y si puede, envienos una muestra del MSNET.EXE a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y lo analizaríamos a ver si se trata de una variante no controlada, y le contestaríamos como respuesta a este Tema

saludos

ms, 05-04-2004

Perix · Mensaje por **Perix** » 05 Abr 2004, 21:25

Gracias por la ayuda, aunque este bicho se siga resistiendo.

La versión del ELIRPCA.EXE que he pasado es la 3.7.

En cuanto al msnet.exe he buscado y no encuentro el archivo. Qué archivo es ?. No lo he dicho pero tengo W2K.

Saludos

Mensaje por **msc hotline sat** » 06 Abr 2004, 11:10

Bien, si no tiene dicho MSNET es que no tiene el virus MOCKBOT-A y por esto el ELIRPCA no se lo detecta.

Consecuentemente su problema puede deberse a otra cosa, virus, spyware entre ellas.

Lance un antivirus ONLINE y un antispyware para salir de dudas:

Para test ONLINE antivirus:

https://www.virustotal.com/es/

__________________________________________

Como antispyware: Bajar, instalar, actualizar y lanzar el Spybot o el AD_AWARE:

SPYBOT:_

http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

AD_AWARE:

http://descargas.terra.es/informacion_extendida.phtml?n_id=12381&plat=1

y nos cuenta el resultado como respuesta a este Tema.

saludos

ms, 06-04-2004

Perix · Mensaje por **Perix** » 06 Abr 2004, 14:21

He pasado varias veces tanto mi antivirus actualizado (Panda Titanium) como algunos online de los que aparecen en http://www.mvps.org/sramesh2k/Scanners.htm , entre ellos el de Symantec, Mc Affee y nada de nada.

Por otra parte también pasé Spybot y Ad-aware y nada.

Todo ello por si acaso también lo he pasado entrando en modo 'a prueba de fallos' y seguimos en las mismas.

En fin, seguiremos buscando cosas. Si encuentro algo os aviso.

Gracias.

Mensaje por **msc hotline sat** » 06 Abr 2004, 15:05

Como que tu post inicial fue del sábado día 3 a lasla noche, perix, podría ser que fueras de los primeros en recibir un virus que nosotros recibimos ayer, y que solo McAfee y Kaspersky controlan, del que hablamos ayer como novisimom y que llega por mail en fichero ZIP conteniendo uhn VBS infectado:

https://foros.zonavirus.com/viewtopic.php?t=360

¿Recuerdas haber recibido un mail con el asunto "Esta es buena" y el texto en castellano "A ver que te parece a tí", anexando un fichero (ZIP) que contenía un VBS?

El virus en cuestión está en fase de estucio, vemos que sobreescribe los VBS que encuentra, que infecta los HTML, que luego todos los mails que se envian voluntariamente salen con el cuerpo infectado con este virus, y que envía mails con el asunto y textos indicados anexando el fichero ZIP/VBS en cuestión.

Si lo recordaras, ya sabríamos a qué atenernos. Para tu conocimiento el virus nació en Perú, que es de donde vienen los hehco por este grupo GEDZAC, igual que el Mapson Lorraine, o que el Darby /Bardiel-Capside, o que el Gaggle.

Hoy estamos haciendo una utilidad de desinfeccion que llamaremos ELIGEDZA.EXE, y que sugiero uses en cuanto la veas disponible.

saludos

ms, 06-04-2004

Perix · Mensaje por **Perix** » 07 Abr 2004, 23:33

Después de seguir dando vueltas con mi problema, he pasado un antitroyano TDS-3 que, además tiene utilidades de analisis de sistema, sustituto del task manager y demás. Al ejecutar el task manager del TDS-3 he identificado un archivo que parece ser el causante del desaguisado. Se trata de un tal mdigits.exe.

Después de matar el proceso he podido entrar sin problemas en el task manager y en el regedit. En este último, he visto una entrada en Local Machine\Software\Microsoft\Windows\Run al archivito de turno y con nombre Microsoft Digital Cryptors.

Alguien sabe algo acerca del virus en cuestión ???

Salu2

Perix · Mensaje por **Perix** » 07 Abr 2004, 23:55

Kaspersky me acaba de reconocer el virus en el fichero que os comentaba antes (mdigits.exe) como Backdoor.SdBot.ic

He quitado la entrada del regedit para asegurarme y he visto que no tengo problemas al entrar. Algún otro consejillo para terminar con la pesadilla ??

Mensaje por **admin** » 08 Abr 2004, 00:18

Mira con esta utilidad

http://www.zonavirus.com/descargas/EliSlutA.exe

Ya nos cuentas... a ver si hemos acertado esta vez

Perix · Mensaje por **Perix** » 08 Abr 2004, 10:27

La probé ayer al ver que trataba variantes de SdBot pero no hubo suerte. Si estais interesados y quereis que os mande el archivito de marras me lo decís.

Bye

Mensaje por **cañera** » 08 Abr 2004, 10:45

pues si perix,visto lo visto y que no hay manera alguna de sacar ese bicho de tu pc,mandaselo a MSC, zonavirus@satinfo.es con un copiar pegar de este post (para saber de que post viene),pero eso si,hasta el martes no tendrás noticias,pues como sabras ya estan de vacances...

saludos

Perix · Mensaje por **Perix** » 08 Abr 2004, 20:44

Hecho cañera,

Salu2

Mensaje por **msc hotline sat** » 14 Abr 2004, 13:08

Tras volver de las mini vacaciones de Semana Santa veo este Tema y vamos a ver si entre los miles de mails que tenemos que ir contestando esta semana (las vacaciones se pagan) encontramos este que anexe el MDIGITS.EXE y lo pasamos a controlar con el ELISLUTA.

Hoy hemos terminado una version que implementa la deteccion y eliminacion del IRCBOT, que todavía no hemos podido enviar por problemas de UPLOAD con el nuevo DNS de zonavirus, pero además de este, en cuanto tengamos la muestra del MDIGITS.EXE, procederemos con otro que los contemple todos.

saludos

ms, 14-04-2004

Mensaje por **msc hotline sat** » 14 Abr 2004, 14:03

Revisados los mails de todas nuestras cuentas, no aparece en la de zonavirus@satinfo.es ningun mail con el anexado vírico NDIGITS.EXE, por lo que si desea que se implemente su eliminacion en el ELISLUTA.EXE, vea de enviarnoslo como le indicaba Araceli en un post anterior.

saludos

ms, 14-04-2004

Perix · Mensaje por **Perix** » 18 Abr 2004, 00:41

Hola, el mail lo envié la semana pasada. Lo volvería a enviar, pero dentro del update de Panda del miércoles pasado, detectó y eliminó el archivo de marras al reconocerlo como Backdoor.sdbot.ut.

Si quereis más info, sólo teneis que decirmelo.

Muchas gracias por vuestra ayuda !!!

Mensaje por **cañera** » 18 Abr 2004, 00:52

perix es decir que ya lo eliminastes,que ya no tienes problemas con tu pc?

si es asi nos alegramos un montón.

si todavía lo tienes(el archivo)envialo y asi se podria usar para cualquier otra persona que necesitase esta misma ayuda.

enhorabuena y a cuidarlo mucho,pero si necesitases algo mas,ya sabes donde nos encontramos.

Mensaje por **msc hotline sat** » 19 Abr 2004, 15:23

De todas formas, aunque no hayamos recibido el de perix, hemos recibido muestras de nuevos SDBOT de varios asociados, por lo que esta tarde subiremos a esta web nuevo ELISLUTA que controla nuevas variantes del SDBOT.

De todas formas, como que hay tropecientos SDBOT, si la recuperas, envianosla, por si no estuviera contemplada entre las nuevas indicadas.

saludos

ms, 19-.04-2004