def.exe (SOLUCIONADO)

[VID92]

Buenos dias.

Escribo este post para ver si podrian ayudarme.

Veran, el caso es que tenia un USB en el cual, tenia unos archivos guardados, pero queria guardar todos al disco duro, y vaciar este usb para poder meter otros que me urgia mas guardar que los anteriores.

Por tanto, copie directamente la carpeta E: de mi pc

y lo pegue en mis documentos, tras lo cual, empezo el largo proceso de copia, pero de pronto me salto el antivirus (avast)

diciendome que se habia encontrado un archivo peligroso, llamado ``def.exe´´ en la carpeta ``abc´´, dicha carpeta, no lograba encontrarla, ni buscando en las ocultas.

He aqui el analisis de una pagina, que hace sobre dicho archivo

http://www.virustotal.com/file-scan/report.html?id=d08f7697da3b20123841938f91f334a77e0aaa8cb0217f506f5a717feecae020-1310043120

de momento tengo al parecer en cuarentena los archivos, peor me gustaria saber que es, o que ha pasado.

De antemano muchas gracias por sus respuestas.

Saludos

[msc hotline sat]

Posiblemente se tratará de un PALEVO, subfamilia Rimecud.

Lanza el ELIPALEVO sobre la unidad que lo contenga, y posteanos el contenido del C:\infosat.txt resultante

Si no lo detectara, envianos dicho fichero para analizar, y mientras añade .VIR a su extension para que no pueda ejecutarse, siendo con dicha extension igualmente detectable por el ELIPALEVO.

http://www.zonavirus.com/descargas/elipalevo.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 7-7-2011


Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


ms.

[VID92]

Ok.

Pase el programa que me dijistes y no encontro ningun resultado.

Ya os he enviado la muestra del archivo a la direccion de correo.

(Es que no me funcionaba el metodo de envio de muestras convencional)

Por cierto, otra cosa a tener en cuenta, es que llevo usando ese pendrive bastante tiempo, pero no estoy cambiando constantemente los archivos que este transporta, es decir, aunque le tengo de hace tiempo, no le usaba mucho, me parece extraño que haya podido entrar ningun virus, pero parece ser que asi es.

De hecho, de la muestra que estaba en el USB, el antivirus avast indica

Fecha de su ultima modificacion un año atras ha dia de hoy

y yo, siempre tengo antivirus, concretamente, avast o norman a veces, y las mayorias de veces que uso mi USB lo hago en mi pc, con los antivirus totalmente activos, y despues de un año de la supuesta ultima modificacion de ese archivo, es cuando al fin lo detecta.

Por todo eso les pregunto que que puede ser, ese virus, y que es lo que podria hacer.

Muchas gracias, espero sus respuestas

[msc hotline sat]

Mañana, cuando volvamos al trabajo en SATINFO, lo analizaremos e informaremos.

Pero conviene que sepas que el Palevo se transmite via pendrive, asi que en cualquier ordenador donde lo insertastes pudo recibir la infeccion.

Recuerda que es conveniente vacunar ordenadors y pendrives con el ELIPEN, para evitar la propagacion de este tipo de virus y vacunar el ordenador y las unidades de pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


saludos

ms, 7-7-2011

[VID92]

Vale, muchas gracias, ya lo he vacunado, y sale que la unidad esta protegida.

Como es posible que estuviera alli durante un año y ningun antivirus detectara nada hasta ahora?

Y gracias por ir a analizarlo, cuando los tengan, les estaria muy agradecido si me pudieran decir exactamente que virus era y cual era su funcionamiento y en que grado ha resultado peligroso que tuviera eso en el USB, o lo que ha podido hacer.

Espero su respuesta

Gracias de nuevo

[msc hotline sat]

Lo mas seguro es que es una variante de Palevo, pero igual ya eliminaste el AUTORUN.INF que lo lanzaba desde el pendrive, y estaba "durmiendo" dentro de él, sin que llegara a activarse, al menos actualmente.



Y seguro que mañana podremos decirte que bajes la nueva version de ELIPALEVO.EXE en la que pasaremos a controlarlo.



Hasta mañana !



saludos



ms, 7-7-2011

[msc hotline sat]

Efectivamente, es un Palevo que pasamos a controlar a partir del ELIPALEVO 2.57 de hoy:

http://www.zonavirus.com/noticias/2011/ ... ndrive.asp

Descargarlo a partir de las 15 h CEST de hoy y pásalo a todos los pendrives y ordenadores.

saludos

ms, 8-7-2011

[VID92]

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\abc\def.exe --> Eliminado, P2P-Worm.Palevo(fhrkmk)



Nº Total de Directorios: 335

Nº Total de Ficheros: 4488

Nº de Ficheros Analizados: 62

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Muchas gracias!

Entonces, si no tenia el autorun y no lo ha detectado ningun antivirus antes, no tengo por que preocuparme?

De todas formas, si se contagia por USB, es muy probable que haya sido de cualquiera de todos los ordenadores que hay en la universidad, podria ser eso

ustedes que opinan?

Muchas gracias de nuevo

[VID92]

Por cierto, esto es algo que acabo de ver con el analisis del antivirus

Tengo dos archivos llamados A0004098.exe y A0004099.exe, en la carpeta C:/system volume information/restore96........

Supongo que sera cosa del virus, pero por si acaso, se lo pregunto

y de ser asi, que harian esos archivos?

[msc hotline sat]

Sí, la infección pudo venir por insertar el pendrive en un ordenador infectado, por esto le sugerimos que vacune pendrives y PC con el ELIPEN.EXE

Y los ficheros que tiene en SYSTEM VOLUME INFORMATION_RESTORE son para ser restaurados en caso de pérdida o de borrado accidental, pero claro, si ha tenido virus, tambien de ellos se hacen copias allí, que deben eliminarse, claro.
Con el ELISTARA actual, los detectará y podrá eliminar, pero aunque estén allí, mientras no se restaure el sistema a un punto anterior, estarían durmiendo, sin problema.
Pero no tienen porqué ser virus, ya que de todos los ejecutables que se usan, windows hace copia en dicha carpeta, para su restauracion en caso necesario.
Con todo lo indicado, damos por solucionado el Tema y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 8-7-2011