-Envío muestras- troyano en userinit.exe

[kikke]

Hola, un virus(troyano) accedió a un pc totalmente parcheado con windows xp sp3 mostrando mensaje de windows en pantalla "llamada de procedimiento remoto" indicando contador de cuenta atrás para reinicio.



Con la famosa utilidad EliTriIP v5.67 detectó C:\WINDOWS\SYSTEM32\WIN32X.EXE sin embargo el archivo que también quedó infectado C:\WINDOWS\SYSTEM32\USERINIT.EXE ( comprobado con antivirus-online) no fue detectado por la utilidad.



Les envío muestras de los dos archivos.



Comprobando las conexiones de red, el virus efectuaba conexiones a varios servidores al puerto 25 (smtp), tras comprobar todos los archivos infectados detectados por varios antivirus on-line efectué limpieza del registro y eliminé el archivo USERINIT.EXE ( por cierto la firma del archivo llama la atención,¡¡ el autor del archivo le ha puesto su nombre¡¡¡) sustituyendolo por otro USERINIT.EXE completamente limpio.



Aparentemente ahora el pc está limpio, no efectuan conexiones salientes ni entrantes extrañas, envío muestras por si debo efectuar alguna revisión más sugerida por uds.



Log hijackthis tras limpieza:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:33:24, on 31/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

C:\Archivos de programa\Wirelwss LAN Utility\tiwlnsvc.exe

C:\Archivos de programa\Unlocker\UnlockerAssistant.exe

C:\Archivos de programa\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1238356112423&h=fca1e0d0f76209cc76471953873a5eb1/&filename=jinstall-6u13-windows-i586-jc.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5567/mcfscan.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

O23 - Service: TI Wlan Service (tiwlnsvc) - Unknown owner - C:\Archivos de programa\Wirelwss LAN Utility\tiwlnsvc.exe

[msc hotline sat]

Sí, al ir a descargar el fichero, ha saltado el McAfee indicando que contenía el virus Waledac.



Pasamos a monitorizarlo e implementarlo esta misma tarde en nuestras utilidades, de lo cual informaremos



Pero recuerda que no deben anexarse muestras viricas a los Temas del foro, pues prodrian ser descargadas por cualquiera, y tacharnos de que pueden descargar virus de nuestra web...



Para enviar muestras, seguir el procedimiento de pulsar en el boton superior derecho de la pantalla del foro. Gracias



saludos



ms, 31-3-2009







NOTA: Y en el log del HJT no se observan claves sospechosas... ms.

[msc hotline sat]

Pues analizado, monitorizado y controlado... pero resulta ser un rootkit que ademas sustituye el userinit.exe por win32x.exe y se copia en su lugar y el rootkit se copia en drivers como win32x.sys y genera un servicio win32x que se encarga del rootkit...



Ya sabemos lo que hace, ahora pasaremos a tratar de hacer el proceso inverso, pero claro, detener el userinit.exe no se puede porque lo protege el sistema, sobreescribirlo tampoco, detener el servicio del rootkit... ya veremos, majo, muy majo ! :cry:



Los controlaremos como WALEDAC con el ELITRIIP, pero igual no acabamos hoy... , de todas formas esta noche mira si hay una version nueva y la pruebas.



Y mañana seguiremos, si nos deja el conficker que tememos nos desborde, ya veremos. Esque las variantes actuales A y B, infectaban 250 servidores cada día, pero la C que habrá a partir de mañana va a infectar 50.000 servidores cada día... Creo que es hora de jubilarme :mrgreen:



NOTA: Que Dios nos pille confesados...



saludos



ms, 31-3-2009






[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

[msc hotline sat]

Se ha complicado la tarde y el marrano en cuestion se las trae... seguiremos mañana, hoy no publicamos nueva version del ELITRIIP



Y esperemos que el Conficker nos deje... :roll:



saludos



ms, 31-3-2009

[msc hotline sat]

Bien, reiniciado a primera hora el trabajo del Waledac, hemos implementado su deteccion en el ELITRIIP, de forma que si lo detectamos, pedimos que se reinicie arrancando en modo seguro para poder eliminarlo, y asi poder porceder con la eliminacion del rootkit y restauraciuon del USERINIT.EXE y demas.



Estará disponible en esta web a partir de las 19 h de hoy, para pruebas de evaluacion en el foro de zonavirus


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]





Tras probarlo, comentanos el resultado, gracias



saludos



ms, 1-4-2009

[jabilator]

Yo tengo el virus en mi PC.



Descargué ELITRIIP, lo intenté ejecutar en modo seguro para poder eliminarlo pero no me deja iniciar la aplicación, diciéndome que dicho programa ha sido bloqueado por un virus



A ver cómo lo arreglo

[msc hotline sat]

A ver, posiblemente será un falso positivo de tu antivirus lo que bloquea el ELITRIIP, desactivalo antes de lanzar nuestras utilidades, pues las cadenas de detección que contienen, son a veces interpretadas erroneamente como virus..., tal como ya decimos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228&p=143921#p143921



saludos



ms, 1-4-2009

[jabilator]

Siempre sigo vuestros consejos y no es por el antivirus por dos razones:



a) Desactivé el antivirus

b) En otro PC no infectado, con el mismo antivirus (activado), la aplicación funciona perfectamente.



Seguiré indagando



Gracias

[msc hotline sat]

Dinos el sistema operativo que hay en el PC infectado, no vaya a ser que tenga el VISTA !!!



Si es asi, pulsa boton derecho sobre el icono del ELITRIIP y ejecutalo con privilegios de administrador.



Y nos cuentas el resultado, gracias



saludos



ms, 1-4-2009

[msc hotline sat]

Y una cosa, este virus debe eliminarse arrancando en modo seguro, lo cual ya indicaría el ELITRIIP si lo encontrara...



Asi que su ya lo sabes, empieza por arrancar en dicho modo.



saludos



ms, 1-4-2009

[jabilator]

[quote="msc hotline sat"]Y una cosa, este virus debe eliminarse arrancando en modo seguro, [/quote]

[quote="jabilator"]


Descargué ELITRIIP, [b]lo intenté ejecutar en modo seguro[/b] para poder eliminarlo [/quote]


[quote="msc hotline sat"]Dinos el sistema operativo que hay en el PC infectado, [/quote]

Windows XP-Pro.



Os pongo un log del virus total



https://www.virustotal.com/es//analisis/5ededf6422c353286caf1cd98b5552e7



No puedo eliminar el userinit.exe porque luego no me inicia sesión el XP, tampoco puedo poner un userinit bueno de otro XP porque automáticamente lo infecta igual que ocurre con la aplicación vuestra



A ver si lo puedo eliminar de una vez

[msc hotline sat]

Y donde has visto que tenga el Waledac ??? jubilator !



https://www.virustotal.com/es//analisis/5ededf6422c353286caf1cd98b5552e7



Lo que tienes es un VIRUT, virus infector que no tiene nada que ver con el de este Tema.



Deja este Tema y abre uno nuevo si no lo resuelves colocando el disco duro como esclavo en otro ordenador y arrancando con el MASTER, lanzar un escaneo con el antivirus sobre el esclavo, como tantas veces hemos dicho para el VIRUT en este foro. Espero que asi lo resuelvas, pero si tienes problema, lo indicas en un Tema que abras para tí al respecto, gracias



saludos



ms, 2-4-2009

[msc hotline sat]

y para kikke:



mira la noticia que hemos publicado hoy:



http://www.zonavirus.com/noticias/2009/resumen-incidencias-confickerc-y-nuevas-variantes-waledac.asp



veras que hablamos del waledac, del que hemos hecho un exhaustivo estudio para entender su funcionamiento y poder detectarlo, detenerlo y eliminarlo, que espero que ya habrás podido hacer con el ELITRIIP 5.68



Informanos del resultado, gracias



saludos



ms, 2-4-2009

[kikke]

Hola !!.

Siento no haber podido contestar antes, trabajo y más trabajo...!!!

Ejecutando la utilidad ELITRIIP en modo normal no detecta el rootkit ya que eliminé el primer día los archivos sospechosos que me indicaban los antivirus on-line manualmente incluyendo sus claves del registro :



c:\windows\system32\usernit.exe (ejecutable del waledac)

C:\windows\system32\win32x.exe (copia del userinit.exe inicial)

C:\windows\system32\drivers\win32x.sys (rootkit del waledac)[/b]



El userinit.exe de otra instalción xp limpia lo cambié por el (maldito)userinit.exe vírico, en estos momentos estoy ejecutando la utilidad elitriip en modo seguro, cuando acabe postearé el resultado del log.

Aquí está el log:





(2-4-2009 13:22:30)

EliTriIP v5.68 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(2-4-2009 13:22:32)

EliTriIP v5.68 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3055

Nº Total de Ficheros: 28861

Nº de Ficheros Analizados: 13767

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Muy buen artículo el del conficker.C y del ( esperemos que se quede en solo la C) y del WALEDAC

Gracias y saludos.

[msc hotline sat]

Bueno, si ya lo has hecho todo manualmente... no hace falta nada mas !



Pero para que lo sepas, no conviene eliminar este:



C:\windows\system32\win32x.exe (copia del userinit.exe inicial)



ya que es la copia que conviene disponer para que el ELITRIIP pueda copiarlo en sustitucion del USERINIT.EXE malware, cuando detecta que está éste en su lugar.



Lo que pasa es que otro virus, un RBOT, utilizaba el mismo nombre de fichero WIN32X.EXE en la carpeta de sistema, para su gusano, y si no lo conocia por cadenas, el ELITRIIP lo movia a c:\muestras para que se nos enviara y poderlo analizar, lo cual posiblemente hizo en tu caso, y ahora tienes en C:\muestras una copia de dicho fichero, que realmente es un USERINIT.EXE cambiado de nombre (puedes borrar este de C:\muestras, ya que has copiado un USERINIT.EXE de otro ordenador en su sitio)



Bueno, ya nos contarás, pero entiendo que, segun indicas, hiciste a mano lo que ahora hacemos "a máquina" con el actual ELITRIIP, pero si tras reiniciar persiste cualquier anomalia, informanos, gracias



saludos



ms, 2-4-2009