Envio de muestra(virus messenger, youtube) (SOLUCIONADO)

[koga]

Primero que todo saludarlos despues de mucho tiempo de no postear (aunque siempre dandome una vuelta por el foro), es un agrado siempre venir por estos lados, me encontre por ahi cierto "bichito" que me hizo acordarme de ustedes (el cual elimine de forma manual) pero les traigo la muestra tal como la pide su utilidad EliPalevo, ademas de enviarles el archivo que lo genera.



Como informacion les puedo decir que se contagia por un link de messenger, enviando un link a "youtube" donde pide instalar un complemento (flash player para ser mas especifico) para poder ver el video, que en realidad no es mas que el dichoso virus.

Al ejecutar el archivo genera la siguiente entrada que se puede apreciar en el hijackthis:

[b]O4 - HKLM\..\Run: [Papelera] C:\recycler\papeleraxp2.exe[/b]



Ademas de estas otras despues del reinicio:

O1 - Hosts: 148.244.43.5 bancomer.com

O1 - Hosts: 148.244.43.5 bancomer.com.mx

O1 - Hosts: 148.244.43.5 http://www.bancomer.com

O1 - Hosts: 148.244.43.5 http://www.bancomer.com.mx

O1 - Hosts: 192.193.230.100 http://www.banamex.com

O1 - Hosts: 192.193.230.100 banamex.com

O1 - Hosts: 192.193.230.100 http://www.banamex.com.mx

O1 - Hosts: 192.193.230.100 banamex.com.mx

O1 - Hosts: 200.76.36.117 http://www.bb.com.mx

O1 - Hosts: 200.76.36.117 bb.com.mx

O1 - Hosts: 200.57.47.69 http://www.scotiabankinverlat.com

O1 - Hosts: 200.57.47.69 scotiabankinverlat.com

O1 - Hosts: 200.57.47.69 http://www.scotiabank.com.mx

O1 - Hosts: 200.57.47.69 scotiabank.com.mx



En cada reinicio tambien genera archivos .exe con procesos asociados en la carpeta de temporales, los nombres de estos procesos son numero al azar seguidos de la extencion, como por ejemplo: C:\Windows\Temp\296.exe.



Al ir a la carpeta C:\recycler\papeleraxp2.exe, no nos encontramos con el archivo papeleraxp2.exe si no con un archivo con nombre numerico (encriptado?) que no puede ser eliminado por estar asociado al proceso que se encuentra en ejecucion [b]glps.exe[/b].



Eso es lo que les podria decir acerca del virus (no creo necesario agregar los registros que modifica), espero les sea de ayuda la informacion y la muestra :wink:





Saludos afectuosos desde Chile para msc, lucl y claro a todos los que colaboran siempre para que este foro sea el mejor foro para soluciones con problemas de virus.

[lucl]

Hola Koga!! Siempre se agradecen tus envios, ya veo que te va bien la vida y que sigues ahi luchando con los virus que aparecen. Voy a ponerle un simbolo especial al mensaje para tirar de el en caso de que lo necesitemos. Ahora tenemos a la gente de vacaciones, ya sabes mes de agosto, pero voy a mandarle un mensaje a Msc para que cuando regrese lo tenga y sea de lo primero en analizar. Gracias por acordarte de nosotros y mirate de pasarte mas veces aunque sea para saludarnos, saludos :D

[msc hotline sat]

Saludos Koga !



En un impass de mis vacaciones, atiendo las indicaciones de lucl que me daba al respecto de este Tema, y veo que ya sabes por donde van los tiros, añade .VIR a estos dos ficheros C:\recycler\papeleraxp2.exe y GLPS.EXE y envianoslos para analizar



Cuidado que parece ser un cazapasswords bancario, dadas las lineas del HOSTS:



O1 - Hosts: 148.244.43.5 bancomer.com

O1 - Hosts: 148.244.43.5 bancomer.com.mx

O1 - Hosts: 148.244.43.5 http://www.bancomer.com

O1 - Hosts: 148.244.43.5 http://www.bancomer.com.mx

O1 - Hosts: 192.193.230.100 http://www.banamex.com

O1 - Hosts: 192.193.230.100 banamex.com

O1 - Hosts: 192.193.230.100 http://www.banamex.com.mx

O1 - Hosts: 192.193.230.100 banamex.com.mx

O1 - Hosts: 200.76.36.117 http://www.bb.com.mx

O1 - Hosts: 200.76.36.117 bb.com.mx

O1 - Hosts: 200.57.47.69 http://www.scotiabankinverlat.com

O1 - Hosts: 200.57.47.69 scotiabankinverlat.com

O1 - Hosts: 200.57.47.69 http://www.scotiabank.com.mx

O1 - Hosts: 200.57.47.69 scotiabank.com.mx



eliminalas de dicho fichero, C:\windows\system32\drivers\etc\HOSTS, aunque sean de México y tu estés en Chile, pero no vayas a usar dichas entidades financieras...



Al mismo tiempo analizaremos esta muestra que pide el ELIPALEVO, todo ello a partir del proximo lunes, que volvemos al trabajo en SATINFO.



Y para encontrar este fichero C:\recycler\papeleraxp2.exe, prueba con el ELIMOVER, y marca la casilla inferior izauierda para que ya le cambie la extension. Una vez en C:\muestras nos lo podrás enviar facilmente.



Saludos y hasta pronto !



ms, 18-8-2009

[koga]

El fichero host lo modifique apenas subi las muestras, el archivo papeleraxp2.exe no lo conserve ya lo habia eliminado(manualmente) por eso no lo envie junto las muestras, en las 2 muestras que envie se encuentran glps.exe que pedia elipalevo y el archivo que se descarga al pinchar el enlace, el cual al ejecutarlo ejecuta el virus.



Lo demas se perdio todo en la eliminacion manual, una ves borrados los archivos ya mencionados en mi primer post ya todo vuelve a la normalidad y el virus no se ejecuta, pero por lo tedioso que es hacerlo de forma manual debido a su polymorfismo y encontrase constantemente los archivos en uso (use unlocker para eliminarlos) es que envio las muestras esperando que sean de utilidad para algun usuario que se encuentre en problemas por este dichoso bicho.



Espero hayan estado muy bien esas vacaciones y vuelvas con fuerzas renovadas :wink:



Saludos, e intentare pasarme mas seguido lucl :D

[lucl]

Aqui estamos ya sabes, y msc se nos fue otra vez :roll: saludos

[msc hotline sat]

Es que estaba de vacaciones, lucl !



Bueno, ya estoy aqui de nuevo, pero aun me queda una semana de vacas que me reservo para fin de año, una escapada a ... :mrgreen: ya os contaré -



Bueno pues el fichero que nos has enviado resulta ser malicioso:



File Flash-Installer-Windows.exe received on 2009.08.25 07:42:35 (UTC)





Result: 26/41 (63.42%)





Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.08.25 Riskware.Win32.DelfInject!IK

AhnLab-V3 5.0.0.2 2009.08.24 -

AntiVir 7.9.1.3 2009.08.25 TR/Buzus.buhi

Antiy-AVL 2.0.3.7 2009.08.24 Trojan/Win32.Buzus.gen

Authentium 5.1.2.4 2009.08.25 -

Avast 4.8.1335.0 2009.08.24 Win32:Inject-UW

AVG 8.5.0.406 2009.08.24 Generic14.ZNP

BitDefender 7.2 2009.08.25 -

CAT-QuickHeal 10.00 2009.08.25 Trojan.Agent.ATV

ClamAV 0.94.1 2009.08.25 -

Comodo 2083 2009.08.25 -

DrWeb 5.0.0.12182 2009.08.25 Win32.HLLW.Lime.18

eSafe 7.0.17.0 2009.08.24 -

eTrust-Vet 31.6.6698 2009.08.24 Win32/Slenfbot!generic

F-Prot 4.4.4.56 2009.08.24 -

F-Secure 8.0.14470.0 2009.08.25 Trojan.Win32.Buzus.bvqy

Fortinet 3.120.0.0 2009.08.24 -

GData 19 2009.08.25 Win32:Inject-UW

Ikarus T3.1.1.68.0 2009.08.25 VirTool.Win32.DelfInject

Jiangmin 11.0.800 2009.08.25 Trojan/Buzus.ooe

K7AntiVirus 7.10.826 2009.08.24 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2009.08.25 Trojan.Win32.Buzus.bvqy

McAfee 5719 2009.08.24 -

McAfee+Artemis 5719 2009.08.24 Suspect-29!8462CA5968B1

McAfee-GW-Edition 6.8.5 2009.08.25 Heuristic.LooksLike.Worm.IrcBot.B

Microsoft 1.4903 2009.08.25 VirTool:Win32/DelfInject.gen!AX

NOD32 4364 2009.08.24 a variant of Win32/Injector.XA

Norman 2009.08.24 -

nProtect 2009.1.8.0 2009.08.25 Trojan/W32.Buzus.121344.E

Panda 10.0.0.14 2009.08.25 Trj/Buzus.AH

PCTools 4.4.2.0 2009.08.24 -

Prevx 3.0 2009.08.25 High Risk Cloaked Malware

Rising 21.44.10.00 2009.08.25 Backdoor.Win32.SdBot.fox

Sophos 4.44.0 2009.08.25 -

Sunbelt 3.2.1858.2 2009.08.25 -

Symantec 1.4.4.12 2009.08.25 Suspicious.MH690.A

TheHacker 6.3.4.3.387 2009.08.25 Trojan/Buzus.bttd

TrendMicro 8.950.0.1094 2009.08.25 -

VBA32 3.12.10.10 2009.08.25 Trojan.Win32.Buzus.bttd

ViRobot 2009.8.25.1900 2009.08.25 -

VirusBuster 4.6.5.0 2009.08.24 Trojan.Buzus.AHTR

Additional information

File size: 121344 bytes

MD5...: 8462ca5968b123ffcdcc67d7958fa96c

SHA1..: d3324e76d0b8f2fd595e9c4f6bf458b17c6bf6af





Lo pasaremos a monitorizar pero me parece recordar que el Buzus es infector, por lo cual deberás eliminarlo arrancando en modo seguro y lanzando tu antivirus, ya que casi todos lo detectan



Si tienes algun problema, cuentanoslo koga :wink:



saludos



ms, 25-8-2009

[koga]

Claro ya esta totalmente controlado, pero hace poco ams de una semana cuando me lo encontre solo mcafee, e-trust y symantec lo detectaban como "sospechoso".

Espero hayan estado muy bien esas vacaciones que a estas alturas del año siempre hacen falta para renovar energias :lol:









Saludos.

[msc hotline sat]

Sí, cuando son nuevos casi ninguno los detecta, y de ello se valen para propagarse mientras no estan controlados. Luego se les acabó la alegría :wink:



Pues ya todo controlado, damos por solucionado el Tema y procedemos a cerrarlo



Gracias por tus deseos, vuelve cuando quieras, koga.



saludos



ms, 25-8-2009

[msc hotline sat]

Analizada una ultima muestra enviada por Koga, pasamos a controlarla con el ELIPALEVO de hoy, 1.9



Solo a título de informacion, pues parece que ya habia sido eliminada. De todas formas recomensdamos se pruebe dicha nueva version, por si hubieran restos.






[quote]
[b] ELIPALEVO.EXE[/b]

http://www.zonavirus.com/descargas/elipalevo.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 26-8-2009