Virus X espontaneo

[breadbeat]

Buenas, ultimamente me esta saliendo un archivo llamado X sin ninguna extension, mi red tendra unos 70 ordenadores, he pasado el antivirus a todos, he puesto el update de windows, son todos windows xp pro con sp2, lo raro es que este archivo llamado X me lo he encontrado en varios ordenadores sin hacerles nada, sin encambio en otros los deja totalmente bloqueados, y si salen por los varios server 2003 que tengo 3 bloquea la red totalmente, os mando prueba de virus a ver si me podeis decir de donde proviene o que es, segun el avas es un troyano espia rootkit

[msc hotline sat]

De entrada dices [b][i]"he puesto el update de windows, son todos windows xp pro con sp2"[/i][/b] , se supone que ahora ya tienen, pues, el SP3 y posteriroes, sino serian vulnerables al conficker que probablemente es lo que tienes...



Pues por si ya te ha entrado, y si es este, prueba el COMPROBADOR y lo veremos



DESCARGA DEL COMPROBADOR.EXE

http://www.zonavirus.com/descargas/comprobador.asp



y efectivamente, el Conficker tiene Rootkit , e intrusiona por el agujero del MS08-067, y se propaga por pendrive y por comparticiones administrativas.



Si es el caso de que lo tengas, prueba el USB445, a continuacion (sin reiniciar) lanza un windowsupdarte y acto seguido reinicia en modo seguro (pulsando repetidamente F8) y lanza el antivirus, que deberá detectarlo y eliminarlo



[b]USB445.EXE[/b]

http://www.zonavirus.com/datos/descargas/281/usb445.asp



Evidentemente al propagarse por compartriciones administrativas, si se tiene dicho virus se debe limpiar las máquinas sin conectar entre si, y unir solo las limpias. Otra cosa es, por ello, la conveniencia de utilizar contraseñas "fuertes", mezcla de mayusculas, minusculas y numeros.



Cuentanos el resultado



saludos



ms, 2-6-2009

[breadbeat]

y me puedes decir algo del archivo (virus) que te he mandado de que tipo es y que hace o estamos seguro que es el confiquer

[msc hotline sat]

Si lo enviaste como muestra para analizar, pulsando en el boton superior derecho, lo encontraremos hoy cuando volvamos al trabajo en SATINFO, y podremos indicarte lo que es.



Si no lo hiciste asi, recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 3-6-2009

[msc hotline sat]

Efectivamente, sospechas confirmadas, era otra variante del CONFICKER:


[quote="VirusTotal"]File x received on 2009.06.03 08:37:35 (UTC)



Result: 38/40 (95%)



Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.06.03 Net-Worm.Win32.Kido!IK

AhnLab-V3 5.0.0.2 2009.06.03 Win32/Kido.worm.160852

AntiVir 7.9.0.180 2009.06.03 TR/Dropper.Gen

Antiy-AVL 2.0.3.1 2009.06.03 Worm/Win32.Kido

Authentium 5.1.2.4 2009.06.03 W32/Conficker!Generic

Avast 4.8.1335.0 2009.06.02 Win32:Rootkit-gen

AVG 8.5.0.339 2009.06.02 Worm/Downadup

BitDefender 7.2 2009.06.03 Win32.Worm.Downadup.Gen

CAT-QuickHeal 10.00 2009.06.03 Win32.Net-Worm.Kido.ih.3.Pack

ClamAV 0.94.1 2009.06.03 Worm.Kido-139

Comodo 1241 2009.06.03 Unclassified Malware

DrWeb 5.0.0.12182 2009.06.03 Win32.HLLW.Shadow.based

eSafe 7.0.17.0 2009.06.02 Win32.Banker

eTrust-Vet 31.6.6536 2009.06.02 Win32/Conficker

F-Prot 4.4.4.56 2009.06.03 W32/Conficker!Generic

F-Secure 8.0.14470.0 2009.06.03 Worm:W32/Downadup.gen!A

Fortinet 3.117.0.0 2009.06.03 W32/Conficker.A!worm

GData 19 2009.06.03 Win32.Worm.Downadup.Gen

Ikarus T3.1.1.57.0 2009.06.03 -

K7AntiVirus 7.10.752 2009.06.02 Net-Worm.Win32.Downadup.ih

Kaspersky 7.0.0.125 2009.06.03 Net-Worm.Win32.Kido.ih

McAfee 5634 2009.06.02 W32/Conficker.worm.gen.a

McAfee+Artemis 5634 2009.06.02 Artemis!9A6D0F069050

McAfee-GW-Edition 6.7.6 2009.05.29 Trojan.Dropper.Gen

Microsoft 1.4701 2009.06.03 Worm:Win32/Conficker.C

NOD32 4125 2009.06.03 a variant of Win32/Conficker.AE

Norman 6.01.05 2009.06.02 W32/Conficker.FA

nProtect 2009.1.8.0 2009.06.03 Worm/W32.Kido.160852

Panda 10.0.0.14 2009.06.02 W32/Conficker.C.worm

PCTools 4.4.2.0 2009.06.02 -

Prevx 3.0 2009.06.03 High Risk Worm

Rising 21.32.21.00 2009.06.03 Hack.Exploit.Win32.MS08-067.hu

Sophos 4.42.0 2009.06.03 Mal/Conficker-A

Sunbelt 3.2.1858.2 2009.06.03 Net-Worm.Win32.Kido.ib

Symantec 1.4.4.12 2009.06.03 W32.Downadup.B

TheHacker 6.3.4.3.338 2009.06.03 W32/Kido.ib

TrendMicro 8.950.0.1092 2009.06.03 WORM_DOWNAD.AD

VBA32 3.12.10.6 2009.06.02 Worm.Win32.kido.109

ViRobot 2009.6.3.1766 2009.06.03 Worm.Win32.Conficker.160852

VirusBuster 4.6.5.0 2009.06.02 Trojan.Conficker.Gen!Pac

Additional information

File size: 160852 bytes

MD5...: 9a6d0f06905087144c30779efe594db0

SHA1..: c87cd7babcec426850e090f2ffc8da64f4a09b7a [/quote]

Sigue las indicaciones dadas, que son justamente las precisas.



Si tienes algun problema, consultanos.



saludos



ms, 3-6-2009

[breadbeat]

MIl gracias msc hotline sat, hare lo que me dices, y manos a la obra

[msc hotline sat]

Para tu conocimiento Microsoft reconoce que mas de 20 millones de ordenadores se han infectado con este virus, y los que se infectarán..



Afortunadamente cada día son menos los ordenadores sin dicho parche, (MS08-067) pero hace ahora 2 meses potenciaron dicho virus para que en lugar de infectar diariamente 250 servidores, desde los cuales lanzar el gusano a tantas IP como encontrara vulnerables, pasó a infectar 50.000 servidores diariamente, y menos mal que todos los medios de comunicacion se hicieron eco de esta noticia y muchos usuarios instalaron el parche, que si no...



Bueno, al menos tienes la ventaja que ya hemos limpiado decenas de miles de ordenadores con este virus, asi que lo hacemos casi con los ojos cerrados... :mrgreen:



saludos



ms, 3-6-2009

Ref SP/Mlg+36.71-4.41