Tengo una red de una empresa y desde ayer estoy teniendo el siguiente problema
el tengo un .exe de un programa que aun estando en reposo sigue consumiendo memoria
y a los 5-6 min. hace que la aplicacion se cierre sin dar ningun error
he pasado los siguientes antivirus
antimalwaresbytes
panda activescan
nod online
trendmicro (este es el que tenemos)
y con el programa process monitor veo que este ejecutable esta abriendo y cerrando archivos sin parar hasta que fuerza el cierre del programa
es evidente que estoy ante un virus que se me ha propagado por toda la red el problema es que nos e cual es para darle caza necesito vuestra ayuda.
Problema Gordo Necesito ayuda
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Problema Gordo Necesito ayuda
Si ya sabe el .EXE que es, envienoslo para analizar:
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
y en cualquier caso, puede probar dos de nuestras utilidades al respecto:
y si en el informe no detecta nada ni pide el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:
SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp
Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema
saludos
ms, 18/2/2011
RSPPM
Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos
y en cualquier caso, puede probar dos de nuestras utilidades al respecto:
[quote][b]ELISTARA:[/b] http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]
y si en el informe no detecta nada ni pide el envio de ninguna muestra sospechosas para analizar, lanza el SPROCES y posteanos el informe resultante:
SPROCES (herramienta de investigación)
Tras lanzarlo, pulsar en SALIR y con un copiar y pegar, nos posteas el contenido del C:\sproclog.txt en tu proximo post, como respuesta de este Tema
saludos
ms, 18/2/2011
RSPPM
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Problema Gordo Necesito ayuda
Mediante el usb rescue del avg y actualizandolo he podido averiguar que el virus es win32/expiro.0
lo que estoy buscando ahora es la aplicacion para poder borrarlo.
he encontrado una pero es para win32/expiro sin el .0 asique no me lo borra si alguien tiene alguna idea de veras
lo agradeciria.
lo que estoy buscando ahora es la aplicacion para poder borrarlo.
he encontrado una pero es para win32/expiro sin el .0 asique no me lo borra si alguien tiene alguna idea de veras
lo agradeciria.
Re: Problema Gordo Necesito ayuda
Bueno Msc aparte de que te sugiere que uses dos herramientas, te pide que lo envies para analizar. Una vez lo hayas enviado te lo analizan y te dan el antidoto exclusivo para tu problema, así que ya sabes... envianoslo. Saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Problema Gordo Necesito ayuda
Bueno, sabiendo que se trata de una variante del Expiro, podemos decirte algo mas:
Por lo que sabemos, la familia del Expiro es del tipo de virus que infectan ejecutables, con capacidad de Spy que le permiten enviar información a Internet.
Dicha información que envia, está relacionada con tarjetas de crédito, y es obtenida por medio de ingeniería social de los equipos donde se ejecuta un archivo infectado (se le pide al usuario dicha información).
El virus examina si el usuario accede a cualquiera de los siguientes sitios (entre otros), para capturar dicha información:
53bank .com
banking .halifax-online .co .uk
barclays .com
crutop .nu
chechenpress .info
ebay .com
goldpoll .com
intgold .com
kavkazcenter .com
kgbrelaxclub .ru
kidos-bank .ru
master-x .com
myonlineaccounts2 .abbeynational .co .uk
new .egg .com
olb2 .nationet .com
online-business .lloydstsb .co .uk
openbank .com
paypal .com
seclab .ru
securitylab .ru
stormpay .com
tat-neftbank .ru
totallyfreebanking .com
welcome3 .smile .co .uk
www .allahabadbank .com
www .b2b-trust .com
www .bank-banque-canada .ca
www .bankofindia .com
www .bankofmadura .com
www .bbin .ru
www .bmo .com
www .candidateverifier .com
www .cbr .ru
www .cibc .com
www .cwbank .com
www .icbank .ru
www .kmb .ru
www .lbcdirect .laurentianbank .ca
www .mmbank .ru
www .nbc .ca
www .netmagister .com
www .ponziscams .com
www .rbc .com
www .socks .ac
www .uniastrum .ru
www .vendorsname .ws
www .vtb .ru
www .worldbank .org
www1 .hsbc .ca
yambo .biz
El virus busca archivos .LNK (accesos directos de Windows), en todos los discos y directorios de la unidad C a la Z, e intenta infectar los ejecutables a los que esos accesos hacen referencia.
Los archivos infectados aumentan su tamaño, ya que el virus se agrega al código original.
Por cada archivo .EXE infectado, crea una copia del mismo (también infectado), con la extensión .IVR.
Una vez que un archivo infectado se ejecuta, un mutex es creado para evitar que más de una copia del virus permanezca activa en memoria.
Cuando está activo, busca archivos ejecutables en todas las unidades de disco de la C a la Z, y los infecta.
Examina constantemente el uso de Internet, y cuando ello amerita, despliega una ventana solicitando información sobre la tarjeta de crédito del usuario.
La información obtenida, es enviada a un servidor remoto, que varía de forma aleatoria de acuerdo a ciertas condiciones.
El virus no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviarlo a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Mientras nos envias muestras de ficheros infectados para su analisis, puedes probar con el cureit, que en otros casos de infecciones de ejecutables, como con nuevas variantes del VIRUT, nos ha dado buenos resultados:ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
saludos
ms, 19-2-2011
Por lo que sabemos, la familia del Expiro es del tipo de virus que infectan ejecutables, con capacidad de Spy que le permiten enviar información a Internet.
Dicha información que envia, está relacionada con tarjetas de crédito, y es obtenida por medio de ingeniería social de los equipos donde se ejecuta un archivo infectado (se le pide al usuario dicha información).
El virus examina si el usuario accede a cualquiera de los siguientes sitios (entre otros), para capturar dicha información:
53bank .com
banking .halifax-online .co .uk
barclays .com
crutop .nu
chechenpress .info
ebay .com
goldpoll .com
intgold .com
kavkazcenter .com
kgbrelaxclub .ru
kidos-bank .ru
master-x .com
myonlineaccounts2 .abbeynational .co .uk
new .egg .com
olb2 .nationet .com
online-business .lloydstsb .co .uk
openbank .com
paypal .com
seclab .ru
securitylab .ru
stormpay .com
tat-neftbank .ru
totallyfreebanking .com
welcome3 .smile .co .uk
www .allahabadbank .com
www .b2b-trust .com
www .bank-banque-canada .ca
www .bankofindia .com
www .bankofmadura .com
www .bbin .ru
www .bmo .com
www .candidateverifier .com
www .cbr .ru
www .cibc .com
www .cwbank .com
www .icbank .ru
www .kmb .ru
www .lbcdirect .laurentianbank .ca
www .mmbank .ru
www .nbc .ca
www .netmagister .com
www .ponziscams .com
www .rbc .com
www .socks .ac
www .uniastrum .ru
www .vendorsname .ws
www .vtb .ru
www .worldbank .org
www1 .hsbc .ca
yambo .biz
El virus busca archivos .LNK (accesos directos de Windows), en todos los discos y directorios de la unidad C a la Z, e intenta infectar los ejecutables a los que esos accesos hacen referencia.
Los archivos infectados aumentan su tamaño, ya que el virus se agrega al código original.
Por cada archivo .EXE infectado, crea una copia del mismo (también infectado), con la extensión .IVR.
Una vez que un archivo infectado se ejecuta, un mutex es creado para evitar que más de una copia del virus permanezca activa en memoria.
Cuando está activo, busca archivos ejecutables en todas las unidades de disco de la C a la Z, y los infecta.
Examina constantemente el uso de Internet, y cuando ello amerita, despliega una ventana solicitando información sobre la tarjeta de crédito del usuario.
La información obtenida, es enviada a un servidor remoto, que varía de forma aleatoria de acuerdo a ciertas condiciones.
El virus no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviarlo a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Mientras nos envias muestras de ficheros infectados para su analisis, puedes probar con el cureit, que en otros casos de infecciones de ejecutables, como con nuevas variantes del VIRUT, nos ha dado buenos resultados:
saludos
ms, 19-2-2011
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online