Aplicacion de Inicio sospechosa (enviada muestra) (SOLUCIONADO)

[zetor]

Hola, el TuneUp me aviso de una nueva aplicacion que se carga en el inicio de windows y me parecio sospechosa. El nombre es [color=#FF0000][b]srvhost64.exe[/b][/color]; lo subi a VirusTotal y el único que la detecta es el AntiVir.

Se las he enviado con contraseña "VIRUS" aunque no se si cambio la forma del envio de muestras, asi que perdon si lo hice mal.

Bueno, espero cualquier aclaracion o comentario y por supuesto el resultado del analisis del archivo.



Gracias

[flacoroo]

gracias por la muestras....



bajate estas herramientas y reinicia tu compu en modo seguro y ejecutalas:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Elinotif[/url]

(complemento del Elistara, debe estar ambos en el mismo lugar)



despues nos pegas el resultado que se crea en C:infosat.txt, copias lo que contiene el archivo y

lo pegas en tu siguiente post

[msc hotline sat]

Bien hecho, mañana cuando volvamos al trabajo en SATINFO, lo encontraremos y analizaremos, y por lo que vemos se trata de un malware que modifica muchas claves de registro:



http://www.threatexpert.com/report.aspx?md5=4d5773793ae5f7743a51e11d888c9cb8



Tras monitorizarlo, restauraremos la normalidad e informaremos de la nueva versión de la utilidad con la que pasemos a controlarlo



en la descripción vemos que utiliza esta IP 212.83.252.194 a través del port 1337



"The trojan has also been known to attempt to connect to a remote server (212.83.252.194) on port 1337 (cute), which it then sends and receives IRC commands."



el cual tambien es utilizado por este Fake original de la confederación rusa http://malwareup.org/blog/?p=33 , con el que seguramente está relacionado, si no es el mismo !



Mientras, añada .ViR a la extension de dicho fichero y asi tras reiniciar ya no se pondrá en marcha





y efectivamente, inicialmente solo el Antivir lo detectaba:



File received on 2010.05.08 20:48:59 (UTC)

Current status: finished



Result: 1/41 (2.44%)



AntiVir 8.2.1.236 2010.05.07 TR/Dropper.Gen



File size: 157162 bytes

MD5 : 4d5773793ae5f7743a51e11d888c9cb8

SHA1 : efb1b51591edfbaaaa75555f6f6845b6edd1ab5f





Si bien con los hash indicados al final del anterior informe y nuestro ELIMD5.EXE ya puede detectarse ahora mismo y eliminarlo



Y mañana, visto que se trata de un FAKE , ya le adelantamos que con el ELISTARA 20.92 pasaremos a controlarlo



saludos



ms, 10-5-2010

RARBA



NOTA: Mas información en http://info.prevx.com/aboutprogramtext.asp?PX5=A37FD39AEAECF6CA65AB02E0767F9E004D42104E ms.

[zetor]

[quote="flacoroo"]
bajate estas herramientas y reinicia tu compu en modo seguro y ejecutalas:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Elinotif[/url]

(complemento del Elistara, debe estar ambos en el mismo lugar)



despues nos pegas el resultado que se crea en C:infosat.txt, copias lo que contiene el archivo y

lo pegas en tu siguiente post[/quote][quote="msc hotline sat"]Bien hecho, mañana cuando volvamos al trabajo en SATINFO, lo encontraremos y analizaremos, y por lo que vemos se trata de un malware que modifica muchas claves de registro:



http://www.threatexpert.com/report.aspx?md5=4d5773793ae5f7743a51e11d888c9cb8



Tras monitorizarlo, restauraremos la normalidad e informaremos de la nueva versión de la utilidad con la que pasemos a controlarlo



en la descripción vemos que utiliza esta IP 212.83.252.194 a través del port 1337



"The trojan has also been known to attempt to connect to a remote server (212.83.252.194) on port 1337 (cute), which it then sends and receives IRC commands."



el cual tambien es utilizado por este Fake AV original de la confederación rusa http://malwareup.org/blog/?p=33 , con el que seguramente está relacionado, si no es el mismo !



Mientras, añada .ViR a la extension de dicho fichero y asi tras reiniciar ya no se pondrá en marcha





y efectivamente, inicialmente solo el Antivir lo detectaba:



File received on 2010.05.08 20:48:59 (UTC)

Current status: finished



Result: 1/41 (2.44%)



AntiVir 8.2.1.236 2010.05.07 TR/Dropper.Gen



File size: 157162 bytes

MD5 : 4d5773793ae5f7743a51e11d888c9cb8

SHA1 : efb1b51591edfbaaaa75555f6f6845b6edd1ab5f





Si bien con los hash indicados al final del anterior informe y nuestro ELIMD5.EXE ya puede detectarse ahora mismo y eliminarlo



Y mañana, visto que se trata de un FAKE AV, ya le adelantamos que con el ELISTARA 20.92 pasaremos a controlarlo



saludos



ms, 10-5-2010





NOTA: Mas información en http://info.prevx.com/aboutprogramtext.asp?PX5=A37FD39AEAECF6CA65AB02E0767F9E004D42104E ms.[/quote]





Gracias por las respuestas, flacoroo el Elistara es el primero que corri claro que no en modo seguro, pero desde el mismo TuneUp ya habia desactivado que se cargue en el inicio, otra cosa es que tenga efecto :D



msc hotline sat, ya le agregue la extension .vir y voy a probar con el ELIMD5.EXE y comento, si no va espero a la nueva version de Elistara.



Gracias

[zetor]

Bueno, ya probe el EliMD5.exe que no conocia, pero en mi caso era necesario? :D digo porque veo que es un buscador de archivos con determinado Hash, pero yo ya lo tenia ubicado (y renombrado) al srvhost64.exe en cuestion.

Una novedad es que cuando quise entrar en modo seguro me salto un BSOD, insisti y sucedio de nuevo. Por suerte tengo el SUPERAntispyware que repara esta opcion y lo soluciono. Ya me diras si el responsable fue este archivo y que otra cosa puede hacer.



Saludos

[msc hotline sat]

Sí, el ELIMD5 con el hash en cuestión era no solo para detectar el SVRHOST64.EXE, sino además, otras copias del mismo que por lo visto crea, por ejemplo con nombres



IDX.EXE

79761094.EXE

71468029.EXE

66366867.EXE

MSCONFIG32.EXE



segun indican los informes que anexabamos en mi anterior post



En cualquier caso no le ha hecho ningun daño el probarlo... y verá el resultado en el c:\infosat.txt (que iría bien posteara, mientras esta mañana analicemos el fichero que esperamos encontrar cuando entremos a trabajar en SATINFO, en unas 2 o 3 horas.



A la vista del mismo, seguiremos informando.



saludos



ms, 11-5-2010

[zetor]

Ok, recien vi los links que pusiste y ya veo porque no podia entrar en modo seguro.

El informe del InfoSat.txt



[color=#6600ff][quote](10-5-2010 09:29:07 (GMT))

EliStartPage v20.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Acceso Denegado a "C:\System Volume Information"



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(10-5-2010 09:31:07 (GMT))

EliStartPage v20.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\Prog. Vs"

D:\Prog. Vs\Diskeeper 2010\Diskeeper2010 ProPremier v14.0.900-x64\AYUDA EN ESPAñOL DISKEEPER 2010.EXE --> Infectado, WebHancer(inst)

D:\Prog. Vs\Diskeeper 2010\Diskeeper2010 ProPremier v14.0.900-x64\IDIOMA ESPAñOL DK 2010 PROPREMIER 14.0.900 (X64).EXE --> Infectado, WebHancer(inst)



Nº Total de Directorios: 1157

Nº Total de Ficheros: 31689

Nº de Ficheros Analizados: 1412

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 0





(10-5-2010 20:21:19)

EliMD5 v1.4b (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SRVHOST64.EXE.VIR --> (Hash: EFB1B51591EDFBAAAA75555F6F6845B6EDD1AB5F).



Nº Total de Directorios: 2986

Nº Total de Ficheros: 27508

Nº de Ficheros Analizados: 5585

Nº de Ficheros Detectados: 1

Nº de Ficheros Eliminados: 0

(10-5-2010 21:57:10 (GMT))

EliStartPage v20.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(10-5-2010 21:59:53 (GMT))

EliStartPage v20.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3002

Nº Total de Ficheros: 29715

Nº de Ficheros Analizados: 7857

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0 [/quote][/color]

Veras que hay dos archivos del Diskeeper detectados por Elistara que yo pienso son falsos positivos, pero si quieres puedo enviarlos..

Por lo demas espero la nueva vesion del Elistara y pregunto, ademas de borrar al SVRHOST64.EXE va a restaurar las claves del registro?



Saludos

[msc hotline sat]

Sí, el SafeBoot es de las claves que toca (como el Bagle y otros) impidiendo arrancar en MODO SEGURO.



Y vemos que no has podido acceder al System Volume information_Restore , donde es posible que haya copia del malware:



(10-5-2010 09:29:07 (GMT))

EliStartPage v20.90 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Acceso Denegado a "C:\System Volume Information"



Esta tarde, cuando hayamos subido la 20.92 que lo controlará, desactiva la restairación de sistema y prueba asi el nuevo ELISTARA, para que elimine la copia del bicho si la hubiera en el Restore



Sobre los ficheros que crees son falsos positivos, envianoslos para excluir su detección, indicando en el mail POSIBLES FALSOS POSITIVOS, y tras analizarlos, obraremos en consecuencia, gracias.



saludos



ms, 11-5-2010

[msc hotline sat]

Pues recibida la muestra enviada, vemos que actualmente ya lo detectan 13 antivirus:



File srvhost64.exe received on 2010.05.11 07:11:29 (UTC)



Result: 13/41 (31.71%)



Antivirus Version Last Update Result

a-squared 4.5.0.50 2010.05.10 Trojan-Dropper!IK

AhnLab-V3 2010.05.11.00 2010.05.10 -

AntiVir 8.2.1.236 2010.05.10 TR/Agent.159744.BS

Antiy-AVL 2.0.3.7 2010.05.10 -

Authentium 5.2.0.5 2010.05.11 -

Avast 4.8.1351.0 2010.05.10 Win32:Malware-gen

Avast5 5.0.332.0 2010.05.10 Win32:Malware-gen

AVG 9.0.0.787 2010.05.11 Dropper.Generic2.HTW

BitDefender 7.2 2010.05.11 -

CAT-QuickHeal 10.00 2010.05.11 -

ClamAV 0.96.0.3-git 2010.05.11 -

Comodo 4821 2010.05.11 -

DrWeb 5.0.2.03300 2010.05.11 -

eSafe 7.0.17.0 2010.05.10 -

eTrust-Vet 35.2.7478 2010.05.10 -

F-Prot 4.5.1.85 2010.05.10 -

F-Secure 9.0.15370.0 2010.05.11 -

Fortinet 4.1.133.0 2010.05.10 -

GData 21 2010.05.11 Win32:Malware-gen

Ikarus T3.1.1.84.0 2010.05.11 Trojan-Dropper

Jiangmin 13.0.900 2010.05.11 -

Kaspersky 7.0.0.125 2010.05.11 -

McAfee 5.400.0.1158 2010.05.11 -

McAfee-GW-Edition 2010.1 2010.05.11 Artemis!4D5773793AE5

Microsoft 1.5703 2010.05.11 Trojan:Win32/Ircbrute

NOD32 5103 2010.05.10 -

Norman 6.04.12 2010.05.11 -

nProtect 2010-05-10.01 2010.05.10 -

Panda 10.0.2.7 2010.05.10 Suspicious file

PCTools 7.0.3.5 2010.05.11 -

Prevx 3.0 2010.05.11 Medium Risk Malware

Rising 22.47.01.03 2010.05.11 Trojan.Win32.Generic.52034AB4

Sophos 4.53.0 2010.05.11 -

Sunbelt 6289 2010.05.11 -

Symantec 20101.1.0.89 2010.05.11 -

TheHacker 6.5.2.0.277 2010.05.10 -

TrendMicro 9.120.0.1004 2010.05.11 -

TrendMicro-HouseCall 9.120.0.1004 2010.05.11 -

VBA32 3.12.12.4 2010.05.06 -

ViRobot 2010.5.11.2309 2010.05.11 Trojan.Win32.S.IRCBrute.157162

VirusBuster 5.0.27.0 2010.05.10 -

Additional information

File size: 157162 bytes

MD5...: 4d5773793ae5f7743a51e11d888c9cb8

SHA1..: efb1b51591edfbaaaa75555f6f6845b6edd1ab5f



si bien algunos tan conocidos como estos 12:



BitDefender 7.2 2010.05.11 -



DrWeb 5.0.2.03300 2010.05.11 -



eSafe 7.0.17.0 2010.05.10 -



eTrust-Vet 35.2.7478 2010.05.10 -



F-Prot 4.5.1.85 2010.05.10 -



F-Secure 9.0.15370.0 2010.05.11 -



Kaspersky 7.0.0.125 2010.05.11 -



NOD32 5103 2010.05.10 -



Norman 6.04.12 2010.05.11 -



Sophos 4.53.0 2010.05.11 -



Symantec 20101.1.0.89 2010.05.11 -



TrendMicro 9.120.0.1004 2010.05.11 -





Con el ELISTARA 20.92 de hoy ya se controlará, eliminará y restaurarán las claves modificadas:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





Tras ello, rogamos nos conformes que todo ha vuelto a la normalidad, gracias



saludos



ms, 11-5-2010

[msc hotline sat]

Tras acceder a la IP indicada, parece que se descarga un FAKE, el cual no hemos podido llegar a obtener por que, la ejecución del fichero muestra, indica: "LA APLICACION NO SE HA PODIDO EJECUTAR CORRECTAMENTE..."



Al parecer, este es un malware que, como otros actuales, proviene de la confederación rusa, copia la apariencia de Microsoft Essentials y cuando se ejecuta, finaliza la sesión de windows y Cuando el ordenador se reinicie, el malware se ejecuta en el inicio, y muestra una pantalla y un icono en la barra de tareas.



Como en otros malwares procedentes de Rusia, se solicita un pago a través de SMS. Afortunadamente, se puede finalizar dicho proceso desde el Administrador de tareas.



De momento el ELISTARA detectará y eliminará los ficheros del downloader y eliminará las claves de carga del mismo, asi como restablecerá las del SafeBoot, y pedirá muestras de ficheros similares en los que no coincida el MD5 (variantes del mismo)



Es muy importante que tras probar la nueva versión 20.92 , y reiniciar, nos indique si persiste alguna anomalía, gracias



saludos



ms, 11-5-2010

[zetor]

Hola
[list]

Enviada muestra con los posibles falsos positivos.

Desactivado Restaurar Sistema.
[quote="msc hotline sat"] Tras acceder a la IP indicada, parece que se descarga un FAKE, el cual no hemos podido llegar a obtener por que, la ejecución del fichero muestra, indica: "LA APLICACION NO SE HA PODIDO EJECUTAR CORRECTAMENTE..."

... copia la apariencia de Microsoft Essentials y cuando se ejecuta, finaliza la sesión de windows y Cuando el ordenador se reinicie, el malware se ejecuta en el inicio, y muestra una pantalla y un icono en la barra de tareas. [/quote] Este no fue mi caso, en realidad no tenia ningun sintoma salvo el no poder entrar en modo seguro (que me di cuenta despues).

El informe del Elistara

[color=#6600ff][quote](11-5-2010 17:13:27 (GMT))

EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-5-2010 17:17:46 (GMT))

EliStartPage v20.92 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Datos de programa\AJUIBKP.EXE --> Eliminado, DownLoader(srvhost)

C:\Documents and Settings\Administrador\Datos de programa\ARZSAYY.EXE --> Infectado, DownLoader(srvhost)

C:\Documents and Settings\Administrador\Datos de programa\DFINNFM.EXE --> Infectado, DownLoader(srvhost)

C:\Documents and Settings\Administrador\Datos de programa\DZQWRQI.EXE --> Infectado, DownLoader(srvhost)

C:\Documents and Settings\Administrador\Datos de programa\IPRVMTD.EXE --> Infectado, DownLoader(srvhost)

C:\Documents and Settings\Administrador\Datos de programa\MVINSHJ.EXE --> Infectado, DownLoader(srvhost)

C:\Documents and Settings\Administrador\Datos de programa\OHFVRDL.EXE --> Infectado, DownLoader(srvhost)

C:\Documents and Settings\Administrador\Datos de programa\UUFKHAM.EXE --> Infectado, DownLoader(srvhost)



Nº Total de Directorios: 3004

Nº Total de Ficheros: 29778

Nº de Ficheros Analizados: 7852

Nº de Ficheros Infectados: 8

Nº de Ficheros Limpiados: 1[/quote] [/color]



Deje que elimine el primero, pero por si me pedia muestras no elimine al resto, ya me diras.
[quote="msc hotline sat"]Es muy importante que tras probar la nueva versión 20.92 , y reiniciar, nos indique si persiste alguna anomalía, gracias[/quote]

[/list]
Aqui te voy a repreguntar ya que como dije no tenia ningun sintoma salvo de que habia una aplicacion nueva en el inicio y lo del Safeboot claro; de acuerdo a lo que vieron de la muestra, qué otros sintomas deberia tener o como compruebo si quedo algun rastro (despues de que elimine lo sale en el informe del InfoSat.txt, claro)



Gracias

[lucl]

Yo creo que si ya te los quiso limpiar era porque ya los tiene detectados elistara por lo que deberias dejar que terminara la limpieza, no obstante si quieres espera a ver que te dice Msc al respecto, saludos.

[zetor]

De acuerdo lucl, no lo hice por si me pedian mas muestras, por lo que veo no tienen el mismo Hash que el original sino el EliMD5 los hubiera encontrado no? Igual ya les agregue las extencion .vir a los que quedaron y puedo esperar a ver que dice Msc y saber sobre los posibles falsos positivos que envie.



Gracias



[color=#FF0000]Edito:[/color] No quiero dejar pasar sin preguntar porque he visto que incluyeron los .zip en el scan de Elistara, estan tambien incluidos los .rar? Seria muy importante ya que al menos yo los tengo en ese formato a la mayoria de los comprimidos que tengo.

[msc hotline sat]

Pues justamente por si había copia de dicho malware es por lo que indiqué que probaras el ELIMD5, y es muy extraño que tras ello, al probar la nueva versión del ELISTARA 20.92 se detecten estos otros ficheros, por lo que mira de enviarnoslos para ver la diferencia entre ellos y la muestra recibida inicialmente, ya que, como bien dices, deben tener otro MD5, pero miraremos en qué mas se diferencian, ya que es la primera vez que nos las habemos con dicho especimen.



Así mismo no se qué mas pueden hacer, para ello nos remitimos a la información que hay al respecto, segun los links que ya te indiqué en mi primer post:



http://www.threatexpert.com/report.aspx?md5=4d5773793ae5f7743a51e11d888c9cb8



http://info.prevx.com/aboutprogramtext.asp?PX5=A37FD39AEAECF6CA65AB02E0767F9E004D42104E



Es cuanto sabemos de ellos, de ahí el que pudieran haber otros ficheros copia del malware con otros nombres, pero ya vemos que iguales no son... pues a la vista de los ficheros que te pedimos, informaremos del resultado de su análisis.



saludos



ms, 12-5-2010

[zetor]

Enviadas nuevas muestras, el fichero original te lo voy a deber :D porque ya lo habia borrado. Aun asi puse a andar al Restoration a ver si lo podia rescatar de entre los borrados y lo único que encontro es uno que estaba en C:\WINDOWS\Prefetch; lo inclui en el envio por si sirve de algo..

Lo de los nuevos ficheros que encontro el Elistara creo saber el porque, accidentalmente ejecute el srvhost64.exe pero no es que sea suicida :lol: veras, al momento de enviarlo quise comprobar si se habia establecido la contraseña y le di doble clic al rar, y dentro de la ventana le di otro doble clic al ejecutable esperando que me pida el pass.. pues no me lo pidio y en lugar de eso se ejecuto!



Saludos

[msc hotline sat]

Los PF o Prefetch no sirven para monitorizar, son solo extractos para lanzar mas rapidamente las aplicaciones que ya se han usado.



Y cuando recibamos las muestras indicadas, las analizaremos e informaremos



saludos



ms, 12-5-2010

[msc hotline sat]

Pues recibidos los ficheros "pàrientes" del SRVHOST64.EXE que no detectó con el ELIMD5 y sí con el ELISTARA, aclaramos que por lo visto el original lo crea con



File size: 157162 bytes

MD5...: 4d5773793ae5f7743a51e11d888c9cb8



mientras que estos otros complementarios lo hace añadiendo masde 300 KB "paja":



File size: 460778 bytes

MD5 : 4ba44bd093558e11ecf43b4e186e2fe4



Está claro que inicialmente con el ELIMD5 solo se detectó los originales, de 157 KB y con el primer MD5, mientras que luego el ELISTARA 20.92 prescindió del tamaño y consecuente incremento de MD5 y completó la detección de dichos ficheros complementarios, los cuales pueden ser eliminados ya que contienen igualmente el malware, además de la "paja"



Marque la casilla de "eliminar automaticamente" del ELISTARA y proceda a limpiar y eliminar lo que detecte.



Vemos que subidos al VirusTotal, si bien ayer eran 13/40 los que lo detectaban, hoy, todos los que nos ha enviado, que son iguales, con el tamaño "engordado" solo los detectan 4 antivirus ... Pero el ELISTARA los detecta todos, tanto los de 157 KB como los de 460 KB



Con todo ello, entendemos que ha quedado solucionado el problema, y procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos





ms, 12-5-2010







NOTA: Y los dos ficheros falsos positivos, efectivamente tenían coincidencia con la cadena de detección con la del WebHancer, pero a partir de la 20.93 los excluimos a pesar de ello. ms.