Win32/Olmarik.GC - Imposible instalar HJT - NOD32 no elimina de la memoria

[msc hotline sat]

Pues envianos el contenido de dicho sector MBR y lo analizaremos.



Solo que ercuerdo haber leido que aprovechando el 0 day actual del Acrobat reader, existe un virus de MBR que solo kaspersky es capaz de detectar... Asi que, por si fuera el caso, lanza su AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





por cierto, que sin que, por si acaso, mira esto:



https://foros.zonavirus.com/viewtopic.php?f=12&t=28470



saludos



ms, 12-5-2009

[ascii]

Ese antivirus ya lo pasé la semana pasada y ya posteé el resultado. Todos los virus que detectó los envié y fueron agregados al EliStarA, sin embargo ninguno de ellos fue este Olmarik.GC. Dado a que hace ya un mes que la máquina está infectada, dudo que sea un zero day que sólo el Kaspersky pueda detectar.

Con respecto al thread ese que me pasaste, no puedo acceder, dice el foro que no estoy autorizado.



Ahora envío el mbr comprimido como virus.

[msc hotline sat]

Y este Olmarik.GC lo detectaba en alguna parte física o solo en memoria ??? En el caso que tuvieras una muestra, envianoslo tambien, que sería lo decisivo.



Voy a ver si ha entrado en procesos algo tuyo y te informo.



Pues no, en cuanto nos llegue lo analizaremos



saludos



ms, 12-5-2009

[ascii]

Sólo en la memoria. Pero como el nod dice que no puede escanear el mbr se me ocurrio que podia cargar de ahi ya que no vieron nada en el log del sprocess. Quizás sea un rootkit y se esté escondiendo? Alguna aplicación para analizar eso?

Quizás pueda poner a hibernar la máquina, lo que haría un dump de la memoria en el disco, luego iniciar desde linux, comprimir ese archivo y enviarlo. Pero creo que 1gb va a ser demasiado pesado aunque esté comprimido. Si saben que sección de la memoria puede ser importante para analizar, entonces puedo hacer un dd y copiar esa parte del archivo.



Escucho indicaciones.

[msc hotline sat]

Recibido un fichero que no contiene sector MBR sino sector BOOT.



El MBR está en 0,0,1 y es sector físico no lógico.



Y con tecnología NT no es accesible, (está protegido), por ello hemos de arancar cpon el CD de instalacion para poder sobreescribirlo con el FIXMBR.EXE





No sé lo que tienes, pero si es con el NOD32 con el que lo detectas, al menos deberías poder localizar donde reside fisicamente con el mismo, aunque para ello necesitaras arrancar en modo seguro, luego si nos envias muestra física ya nos cuiidaremos nosotros del resto...



saludos



ms, 12-5-2009







NOTA : Otra manera a probar es colocarlo como esclavo de otro disco duro bueno, y desde el MASTER escanear con dicho antivirus el esclavo, a ver si asi al menos lo ve. ms.

[ascii]

Como ya comenté, el nod solamente detecta el virus en la memoria. No encuentra ningun archivo que esté infectado. Ese es el tema, que no tengo muestra para mandarles.

Desde linux hay manera de leer el mbr?

[msc hotline sat]

No es mi especialidad, y dado que es NOD32 quien lo detecta, y no sabemos como ni donde pillarlo, como que debes tener tu licencia con los de NOD32, sugiero consultes con ellos al respecto, que ellos sabrán... igual es un falso positivo y nos estamos rompiendo los cuernos !



Y nos informas de su respuesta, gracias



saludos



ms, 12-5-2009

ref AR/BA-34.93-57.95

[ascii]

Dudo que sea un falso positivo, ya que la máquina anda para atrás.



Veré como comunicarme con ellos, gracias.

[msc hotline sat]

Pues igual se trata del Rootkit que Kaspersky avisó entraba a traves del 0 day del Acrobat Reader... Pero seguro que los de ESET sabrán qué es lo que detectan ...



Tennos informados, gracias



saludos



ms, 12-5-2009