Dudas sobre el virus Win32:Vitro o Virut (SOLUCIONADO)

[RaulEstela]

He leído varios artículos sobre este virus publicados en el foro y me bajé el antivirus "launch.exe" (Dr Web) gracias a los links.

Tuve Windows XP instalado con el Avast hasta que se infestó el sistema. Cuento con 3 discos duros (1 de 500 gb y 2 de 80 gb). En el de 500 gb en la 1a. mitad estuvo windows XP y en la otra OpenSuse 11, los otros 2 discos los tengo como respaldo de instaladores y archivos de trabajo. Reinstalé W XP 3 veces y no logré eliminarlo, a pesar de haber bajado el Avira. Los 2 antivirus detectan los archivos ejecutables pero no se logra desinfectar el sistema por más que formateé la partición donde estaba W XP cada vez que lo instalaba. Como linux no es afectado por este virus comencé a trabajar desde allí y formateé la partición donde estaba W XP, para ganar tiempo y [b]lograr comprender el modo en que opera este virus[/b]. Llegué a este foro luego de consultar con varios conocidos que no lograron aclarar el tema. Cuento que ayer corrí "launch.exe" desde linux gracias a wine para revisar los 2 discos de 80 gb y no lo encontró. Tengo preguntas a las que quisiera encontrarles respuesta para instalar W XP de nuevo:



-- ¿Dónde se aloja este virus? Algunos me han dicho que infecta la CMOS, me cuesta creer que se meta en los 256 Kb que tiene esta memoria.



-- Tengo instalado el antivirus Clamav 0.95.3 y también se lo corrí ayer pero tampoco encontró nada. ¿Logra detectar a este virus?



-- En su corrida "launch.exe" detectó como troyano al instalador de SUPER, un programa para recodificar archivos de audio y video. ¿Es un falso positivo o qué?



Desde ya muchas gracias.

[msc hotline sat]

Dices si se aloja en el CMOS ??? ... No, el CMOS es un chip que solo almacena la configuracion del BIOS. Los virus puedes estar en los ficheros o en zonas físicas, como en el MBR, y máximo pueden sobrescribir el BIOS, como el CIH, pero no se ha visto ninguno que lo modifique dejandolo operativo, y el VIRUT es un malnacido que infecta ejecutables, pero que los puede dañar y dejar inservibles, aun que se desinfecten.



Y muy bien por lanzar el Cureit, es muy efectivo contra muchas variantes de dicho virus.



Sobre si la deteccion del instalador de SUPER, subalo al [url=https://www.virustotal.com/es/]VirusTotal[/url] y vea los antivirus que lo detectan y como... y obra en consecuencia o nos copia el resultado con un copiar y pegar en el proximo post, de respuesta a este Tema



saludos



ms, 17-2-2010

RURMO

[RaulEstela]

Intenté enviar el instalador de SUPER (tiene 25,6 Mb) a Virus Total, pero no se puede pues supera el límite de los 20 MB impuesto.



De tu respuesta me queda la siguiente duda:

¿Qué antivirus hay para Linux que detecte una buena cantidad de pestes con el menor número de falsos positivos?

Mi idea es chequear lo que transferí desde los discos que tuvieron infectados con el VIRUT a la partición de Linux (formato ext3) como también los otros discos que tienen formato NTFS. Aclaro que no he tenido ningún problema relacionado con este virus al trabajar con OpenSUSE, pero hay programas de Windows (como ser el Coreldraw) que sus archivos de trabajo no se pueden abrir con los similares de Linux. Por ello busco instalar W XP de nuevo para instalar estos programas.



Saludos y gracias desde ya.

[msc hotline sat]

Existe el McAfee para Linux bajo opciones de comando, del que puedes descargar una evaluacion:



https://secure.nai.com/apps/downloads/free_evaluations/default.asp



saludos



ms, 18-2-2010

[RaulEstela]

Bajé el McAfee para línea de comandos gracias al link que me pasaste. Lo instalé y lo ejecuté, la base de datos de los virus es del 07/10/2009. Gracias al archivo pdf que viene con el instalador encontré el lugar para bajar la actualización, es del 19/02/2010.

Lo corrí encontrando:

-- 2 troyanos dentro de 2 archivos zip, los dejé para tener una referencia ya que fueron detectados por el Avira desde Win XP cuando lo tuve instalado. Guardé el resultado del escaneo en un archivo html para compararlo con el correspondiente hecho por el Clamav, viendo que los 2 archivos detectados por ambos antivirus y los nombres de los troyanos son los mismos.

-- respecto al instalador "SUPERsetup.exe", el que encontró infectado el Cureit, el Clamav y el McAfee lo marcaron como limpio.

-- que la opción "--virus-list --HTML= /home/RaulEstela/virus.htm" genera un archivo que contiene todos los nombres de los malwares que detecta. La actualización al 19/02/2010 detecta 602764 mal bichos. El Clamav actualizado a esa fecha detecta 719461 mal bichos, pero no presenta la opción de guardar el listado de las pestes en un archivo como el McAfee. Adjunto el archivo "virus.htm" pues aparecen 3 variantes del malnacido VIRUT.



En conclusión, habiendo escaneado con 2 antivirus obtuve el mismo resultado en:

-- no encontraron al VIRUT

-- "SUPERsetup.exe" apareció limpio

-- los 2 archivos infectados que tenía a sabiendas fueron detectados con los mismos mal bichos por ambos antivirus.



Me queda la prueba del nueve: volver a instalar Win XP y un antivirus de escudo residente y ver que pasa.

Lo que no me sigue quedando en claro es como opera VIRUT una vez que ingresa a una máquina. Lo cierto es que reinicié cada vez que instalé un programa luego de haber instalado Win XP, tal vez esté ahí lo que favoreció la permanencia de VIRUT. El apagar la máquina borra todo el contenido de la memoria RAM, el reiniciar lo deja intacto.



Cambiando de tema ¿puedo consultarte algunas cuestiones sobre Linux?, sucede que soy un neófito en esta materia. De ser afirmativa la respuesta dime la manera de hacerlo.



Desde ya muchas gracias por todo.

[msc hotline sat]

Pues sobre todo en los ZIP donde encontraste ficheros infectados, o los eliminas globalmente, o los abres y eliminas los ficheros que te decian que estaban infectdos, es lo mejor que puedes hacer para evitar que en un futuro vuelvan a infectarte.



Y sobre el LINUX no es el foro adecuado, los hay especializados en dicho sistema, donde podrán ayudarte.



Y dando por solucionado el Tema, procedemos a cerrarlo.



Si nos necesitas de nuevo, ya sabes donde estamos.



saludos



ms, 22-2-2010