Virus en vsounds.exe

[raycillo]

Hola a todos. El archivo en cuestion se desconoce por donde llega originalmente, pero se transmite efectivamente por los pendrives(Memorias usb). Se aloja en el disco duro en la siguiente directorio:

[b][i]C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\vsounds.exe[/i][/b]

y en la actualidad ningun antivirus es capaz de detectarlo. Para la eliminacion toca reiniciar el pc con algun liveCD y eliminarlo.

crea una key en el registro pero no la de autorun clasica de muchos. Usando la utilidad autoruns.exe de Sysinternals, podemos encontrar una referencia al virus en la pestaña correspondiente a [b]explorer[/b], a diferencia de la mayoria que lo hace en la pestaña de [b]logon[/b].



Nota: El proceso no aparece en la lista de procesos en ejecucion, he de suponer que es por su forma de ejecucion. El archivo a sido enviado para su examen. Gracias por todo.

[msc hotline sat]

Por su ubicacion parece ser un típico virus de los que se propagan por pendrive.



UTilizando el ELIMOVER, con un copiar y pegar en él de [b][i]C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\vsounds.exe[/i][/b] lo podrás copiar a la carpeta c:\muestras, desde donde poder enviarnoslo para analizar e implementar su control y eliminación, en nuestras utilidades. Además, selecciona la casilla de renombrar el fichero original a .VIR (en la parte inferior izquierda del ELIMOVER) para que no se ponga en marcha a partir del siguiente reinicio.



ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





luego envianos el fichero de c:\muestras:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Aparte vacuna tu ordenador y pendrives con el ELIPEN:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 4-4-2009

[msc hotline sat]

Y ojo que buscando dicho nombre, podría ser este backdoor de IRC:



http://www.threatexpert.com/report.aspx?md5=71b5d369deb7ed4ef4e40f1adc828410



Si se confirma, tras analizarlo y monitorizarlo, lo implementaremos en el ELITRIIP, pero ya informaremos...



saludos



ms, 4-4-2009







NOTA: De todas formas me extraña que digas que nadie lo detecta, ya que este parece ser controlado por unos cuantos:



ThreatExpert's Statistics for Worm.Win32.Hamweq.A [Ikarus]:



Worm.Win32.Hamweq.A [Ikarus] is also known as:



Threat Alias Number of Incidents

Worm:Win32/Hamweq.A [Microsoft] 2

Backdoor.Trojan [Symantec] 1

Backdoor.Win32.Agent.ima [Kaspersky Lab] 1

Mal/Generic-A [Sophos] 1

W32.IRCBot [Symantec] 1

W32/Autorun.worm.c [McAfee] 1

W32/Autorun.worm.gen [McAfee] 1

W32/AutoRun-MP [Sophos] 1

Worm.AutoRun!sd6 [PC Tools] 1

Worm.Win32.AutoRun.qfi [Kaspersky Lab] 1



segun http://www.threatexpert.com/threats/worm-win32-hamweq-a.html



y a título de informaicon parece ser que se introduce en el ordenador al bajar un falso codec, cuya ejecución produce un mensaje de error, aparte de pop-ups.



ms.

[msc hotline sat]

Pues visto que se trataba de un AUTORUN y de HAMWEK (online games) pasamos a implemenmtar su contol y eliminacion en el ELISTARA 18.38 de hoy


[quote]
[b] ELISTARA.EXE: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 7-4-2009