Virus agresivo se transmite por messenger

[alejandrovazuezmx]

hola encontre un virus que se propaga por messenger



es agresivo y tira algunos servicios



envio muestras y satinfo



gracias

[alejandrovazuezmx]

(15-4-2009 01:17:14)

EliStartPage v18.40 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v18.40

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v18.40

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-4-2009 01:21:26)

EliStartPage v18.40 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4749

Nº Total de Ficheros: 64363

Nº de Ficheros Analizados: 12101

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-4-2009 01:27:25)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(15-4-2009 01:27:25)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-1482476501-343818398-725345543-1003\Dc27.exe --> Eliminado, BackDoor.FakeViewer(dr)

C:\RECYCLER\S-1-5-21-1482476501-343818398-725345543-1003\Dc28.exe --> Eliminado, BackDoor.FakeViewer(dr)



Nº Total de Directorios: 4749

Nº Total de Ficheros: 64363

Nº de Ficheros Analizados: 11023

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[msc hotline sat]

Pues por lo que veo se trata de alguna variante de ONLINE GAMES que tan pronto como entremos a trabajar en SATINFO y encontremos las muestras enviadas, procederemos a controlarlo e implementarlo en la nueva version del ELISTARA que haremos hoy.



Mientras, vacune su ordenador y pendrives con el ELIPEN, para evitar la propagacion de virus de este tipo:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 15-4-2009

[msc hotline sat]

Recibida muestra para analizar, se detecta nueva variante de ONLINEGAME que pasamos a controlar con la version 18.41 del ELISTARA, que ya hemos subido a esta web.



Tras probarla, posteanos en infosat.txt resultante, gracias



saludos



ms, 15-4-2009

[alejandrovazuezmx]

Listo

Virus Eliminado



Muchas Gracias

Que buen equipo de trabajo tienen



Felicidades !!



Publico Infosat





Tue Feb 17 19:41:54 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Mon Mar 02 14:24:19 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Tue Mar 17 15:39:04 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Mar 17 15:45:18 2009

EliStartPage v18.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Marzo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3454

Nº Total de Ficheros: 52476

Nº de Ficheros Analizados: 11234

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-4-2009 03:16:55)

EliStartPage v18.34 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-4-2009 03:20:19)

EliStartPage v18.34 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(2-4-2009 03:20:35)

EliStartPage v18.34 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4311

Nº Total de Ficheros: 61839

Nº de Ficheros Analizados: 11925

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-4-2009 03:28:14)

EliTriIP v5.68 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(2-4-2009 03:28:15)

EliTriIP v5.68 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 1 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4311

Nº Total de Ficheros: 61843

Nº de Ficheros Analizados: 10834

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-4-2009 01:17:14)

EliStartPage v18.40 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v18.40

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v18.40

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-4-2009 01:21:26)

EliStartPage v18.40 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4749

Nº Total de Ficheros: 64363

Nº de Ficheros Analizados: 12101

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-4-2009 01:27:25)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(15-4-2009 01:27:25)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\RECYCLER\S-1-5-21-1482476501-343818398-725345543-1003\Dc27.exe --> Eliminado, BackDoor.FakeViewer(dr)

C:\RECYCLER\S-1-5-21-1482476501-343818398-725345543-1003\Dc28.exe --> Eliminado, BackDoor.FakeViewer(dr)



Nº Total de Directorios: 4749

Nº Total de Ficheros: 64363

Nº de Ficheros Analizados: 11023

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(15-4-2009 02:01:28)

EliStartPage v18.40 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-4-2009 02:01:44)

EliStartPage v18.40 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4750

Nº Total de Ficheros: 64400

Nº de Ficheros Analizados: 12102

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(15-4-2009 02:07:38)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(15-4-2009 02:07:39)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4750

Nº Total de Ficheros: 64400

Nº de Ficheros Analizados: 11023

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-4-2009 01:07:04)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(16-4-2009 01:07:49)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\0XUC.COM --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\OLHRWEF.EXE.MUESTRA ELISTARTPAGE V18.40 --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 4803

Nº Total de Ficheros: 64781

Nº de Ficheros Analizados: 12120

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[alejandrovazuezmx]

HOLA

RESULTO QUE AUN CONTINUA LA INFECCION O NO SE QUE PASO PORQUE ME GENERO ELISTARA 41 MAS MUESTRAS

QUE ESTOY ENVIANDO



GRACIAS



ANEXO INFOSAT



(16-4-2009 02:22:42)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\OLHRWEF.EXE.Muestra EliStartPage v18.41

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v18.41

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(16-4-2009 02:23:14)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\NMDFGDS0.DLL.MUESTRA ELISTARTPAGE V18.40 --> Eliminado, PWS-OnLineGames.Olhrwef

C:\Muestras\OLHRWEF.EXE.MUESTRA ELISTARTPAGE V18.40 --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 7647

Nº Total de Ficheros: 136265

Nº de Ficheros Analizados: 23030

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(16-4-2009 02:36:53)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(16-4-2009 02:36:54)

EliTriIP v5.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7332

Nº Total de Ficheros: 129351

Nº de Ficheros Analizados: 16988

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(16-4-2009 02:48:22)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(16-4-2009 02:49:44)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 89

Nº Total de Ficheros: 1169

Nº de Ficheros Analizados: 646

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(16-4-2009 02:59:39)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(16-4-2009 02:59:51)

EliStartPage v18.41 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 7652

Nº Total de Ficheros: 136274

Nº de Ficheros Analizados: 23030

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues si bien ya se ha eliminado el ONLINEGAME que nos envió de muestra, vemos este otro sospechoso, que le pedimos igualmente para analizar:



Por favor, envienos una muestra del fichero

C:\CYBERCLIENT\VIGIA.EXE



y si tiene algun fichero mas en C:\muestras, envienoslo tambien, pues no vemos que se detectara este que se envió a C:\muestras:



Por favor, envienos una muestra del fichero

C:\Muestras\NMDFGDS0.DLL.Muestra EliStartPage v18.40





saludos



ms, 16-4-2009

[msc hotline sat]

Recibidas nuevas muestras sospechosas, pasamos a implenmentar su control como variantes de ONLINE GAMES, en la nueva version del ELISTARA de hoy 18,42:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 16-4-2009