nuevo virus bill108 necesito ayuda (SOLUCIONADO)

[where]

Vale ahora te lo enviare pero tengo una duda sobre el envio comprimido de los fichero, como tengo que hacer la carpeta para guardar el archivo comprimido esque en el manual no sale bien no se donde tengo que hacer la carpeta y como antes de comprimir los archivos

[msc hotline sat]

La cuestion es que empaquetes los ficheros con un ZIP o RAR con password "virus" (sin comillas) , y los envies con el botón de ENVIO DE MUESTRAS o bien adjuntandolos a un mail dirigido a zonavirus@satinfo.es , en el que como ASUNTO pngas tu nick del foro ("where")



Y tras añadirles la extension .VIR, reinicia y mira si persisten las anomalías, pues si acertamos, no debieran...



Y además, si quieres, entra en virustotal.com y envia uno a uno dichos ficheros. Serán mirados con 43 AV actualizados, y es posible que por su MD5, o contenido, ya sean identificados por alguno, a ver si se detectan restos del Koobface dichoso !



Si lo haces, y ya puedes hacer un copiar y pegar, en el que se detecte algo péganoslo como respuesta de este Tema, sería un placer haber dado en el clavo !



Ah, y comentarte que al tener este Tema tan persistente, he mirado donde estás y casualmente conozco tu zona, pues estuve trabajando un tiempo en una fábrica que se llamaba PIHER, no sé si te sonará pues ya cerró hace años ... mira por donde ! :)



saludos



ms, 9-7-2011

[where]

bueno te he enviado el primer fichero como me dijistes comprimido y con estension final.vir espero habertelo enviado correctamente, por cierto no conozco la fabrica esa que me comentas ya que llevo aqui tres años en fin el mundo es un pañuelo saludos amigo y agradecerte tu ayuda. procedo a enviarte los siguientes archivos te los estoy enviando comprimidos con la extension final vir pero no los estoy metiendo en ninguna carpeta te lo envio directamente un saludo.

[msc hotline sat]

Sí, hubiera sido mucha casualidad que conocieras dicha fábrica PIHER, ya que me fuí de allí en 1983 , y cerró pocos años después, asi que hace de ello mas de 20 años ! :), pero es parte de la historia de mi vida :) ! (En total estuve mas de 10 años en varias de sus factorías, en Granollers, Badalona y Barcelona)



Bueno, y a lo que vamos, el lunes, cuando volvamos al trabajo en SATINFO, veremos las muestras que nos has enviado, pero mientras, si quieres, posteanos el informe que te ofrezca virustotal al respecto, para salir de dudas...



saludos



ms, 9-7.-2011

[where]

una cosita el archivo imm32oko.dll no lo encuentro esta el imm32.dll hos lo envio ho ese no es?

bueno espera que lo buscare con el elimore saludos

[msc hotline sat]

No es este, pero envialo, por analizarlo no vamos a perder nada.



Y si subes los ficheros al virustotal, postea informe resultante, que en 10 minutos salgo a cenar !



saludos



ms, 9-7-2011

[where]

bueno lo busque con dicho programa pero me dice que no existe el archivo no se que hago?hos mando el imm32.dll?

[where]

perdona mi ignorancia pero a que te refieres con el virustotal no te entiendo?

[msc hotline sat]

Sï, te había dicho en un post anterior:


[quote="msc"]
Y además, si quieres, entra en virustotal.com y envia uno a uno dichos ficheros. Serán mirados con 43 AV actualizados, y es posible que por su MD5, o contenido, ya sean identificados por alguno, a ver si se detectan restos del Koobface dichoso !


[/quote]

si puedes hacerlo, luego, con un copiar y pegar, posteanos el informe de alguno que te detecte algo, y si no, no pasa nada. En cualquier caso, si lo haces, lo veré en otro momento, pues ahora ya me he de ir.



saludos



ms, 9-7-2011

[where]

si perdona ya me di cuenta bueno la verdad que me queda ese fichero el imm32oko.dll que no esta en dicha carpeta? los otros dos ya hos lo mande. Bueno de momento reiniciare y [b][i]a ver[/i][/b] que pasa si me puedo bajar el virustotal hos pego el informe un saludo y bon profit..

[msc hotline sat]

Sí, gracias, la cena fue provechosa :), pero la digestión grosera, con mucha calor y sin ni pizca de viento. A ver si hoy refresca un poquito por la tarde, y, como dicen los del tiempo, cae algun chaparrón y todo.



Y no, no has de bajar nada de VirusTotal, sino subirlo, esto es, enviarles los ficheros sospechosos.



Para ello entra en http://virustotal.com , con "EXAMINAR" ve a buscar cada fichero (uno solo cada vez) y con "SEND FILE" envialo a analizar, tras lo cual será analizado por 43 AntiVirus, y ofrecerá un informe, lo seleccionas y con un copiar y pegar, lo posteas en el proximo post de respuesta a este Tema



Espero que ahora ya puedas "copiar y pegar", sino vuelve a lanzar el ELISTARA para restablecer claves, y al ya no estar libre (el o los sospechosos), no deben volver a implementarlas, al reves que antes, que volvia a regenerar el HOSTS y las claves modificadas.



saludos



ms, 10-7-2011

[where]

Hola, bueno decirte que no me deja entrar en virustotal.com tambien lo probe en modo seguro de red. Bueno le puse la extension vir a los dos primeros archivos que me dijisteis pero siguen las anomalias.

Tambien decirte que le pase un scaner donde me muestra que tengo 9 infeciones pero no me deja borrarlas. una de ellas es el archivo TASKMGR.exe quereis que os lo envio añadiendole la extension vir?

[msc hotline sat]

Sí, envianoslo, y lo de .VIR es importante que lo añadas al fichero que quede en tu ordenador, para que no se pueda lanzar en el futuro.



Y lo de que no puedes entrar en virustotal.com, hazlo a través de http://www.hispasec.com

(en la parte inferior de la columna central)



Sino, prueba editar el HOSTS con solo la linea del   " 127.0.0.1     LOCALHOST " , y en la misma sesion (sin reiniciar), prueba de ir a www.virustotal.com



saludos



ms, 10-7-2011

[where]

hola otra vez no veas no me deja entrar como me dijistes tampoco y lo de editar el hosts sin reiniciar ahora tampoco me deja lo edito y al momento vuelve al estado que estaba?

bueno de momento te enviare todos los archivos sospechosos que tenga y ya me diras que puedo hacer para entrar en virustotal.La verdad que la primera vez me dejo entrar y por eso pude analizar el archivo anterior que me salia que habia un troyano en dicho archivo. Pero ya no me dejo entrar mas. Que cosa mas rara no se si el virus este es capaz de todo eso bueno ya me diras que hago, o si tengo que esperar analizar los archivos, saludos.

[msc hotline sat]

El virus debe modificar el HOSTS, y mientras está residente, por mas que lo cambies, él lo vuelva a cambiar.



Por esto te indiqué que añadieras .VIR a la extension de dichos ficheros, y dejalo asi, de esta forma no se cargarán en siguientes reinicios.



Pero si hay uno solo que siga con .EXE, estará incordiando hasta que lo encontremos



Mañana veremos estos ficheros que nos envias, y añadiremos su control y eliminacion en la prosima version del ELISTARA (de mañana mismo), y posiblemente encontremos otros además de los indicados, y cambiando el HOSTS, no incordiará mas...



Tiempo al tiempo, si dices que en uno que lograste analizar, detectó troyanos, señal de que estamos en el buen camino.



Hoy tengo comida familiar, ya que celebramos el cumpleaños de mi esposa, que, como dice ella, "cambia de versión" por la X.0 ... ( La X, en las mujeres, es siempre una incognita :) :) :) )



Así que será hasta mañana, si Dios quiere.



saludos



ms, 10-7-2011

[where]

bueno en principio decirte que te lo pases bien en el cumple de tu mujer.

y volviendo al tema de los virus decirte que solo pude escanear con virustotal el archivo que te comente el taskman que hos lo enviare.

Hasta mañanas saludos.

[msc hotline sat]

OK.



ms.

[msc hotline sat]

Pues he dado prioridad al análisis de las muestras que nos haa enviado, y efectivamente en el preanalisis del VT, se detectan en varios ficheros variantes del Koobface, que pasamos a controlar a partir del ELISTARA 23.60 de hoy



A partir de las 19 horas CEST estrá disponible en nuestra web, descarga dicha nueva version y espero que, tras probarla, detecte y elimine esta variante o restos del Koobface de marras.



Cuando lo hayas hecho, reinicia y posteanos el contenido de c:\infosat.txt, para ver el resultado del proceso, gracias



Y dinos si con ello ya se han solucionado los problemas al respecto, claro.



saludos



ms, 11-7-2011

[msc hotline sat]

Al respecto, ver:



http://www.zonavirus.com/noticias/2011/4-nuevas-variantes-del-worm-koobface-recibidas-para-controlar.asp



ms.

[where]

ok gracias hasta luego entonces.

[where]

Acabo de ver la noticia esta muy interesante de todas formas luego sabremos si hay alguno mas por ahi ya que me da la corazonada de que si jeje...hasta luego.

Saludos.

[msc hotline sat]

Ya está subida la nueva versión, asi que cuando quieras ...



saludos



ms, 11-7-2011

[where]

Hola perdona mi ignorancia pero la version 23.60 es la que me tengo que descargar no la veo, tengo que desistalar la version antigua antes?

[where]

bueno ahora me tendre que ir esta noche sobre las 22:00 me lo descargare y probare haber que tal y hos mandare el informe saludos y gracias

[where]

perdona pera la nueva version no la veo sale la 23.59

[msc hotline sat]

Lo he vuelto a subir, prueba de nuevo



ms.

[where]

Hola en principio ahora si me elimino los archivos infectados pero le pase el elistara en modo normal lo volvere a pasar en modo seguro ya que no me detecto nada del host y luego mas tarde hos cuento un saludo y muchas gracias.



(12-7-2011 14:22:08 (GMT))

EliStartPage v23.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-7-2011 14:30:57 (GMT))

EliStartPage v23.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\unzipped\aokomon.dll\AOKOMON.DLL.VIR --> Eliminado, Net-Worm.Koobface

C:\WINDOWS\system32\AOKOMON.DLL.VIR --> Eliminado, Net-Worm.Koobface

C:\WINDOWS\system32\CERTOKO.DLL.VIR --> Eliminado, Net-Worm.Koobface

C:\WINDOWS\system32\CFGORMD.DLL.VIR --> Eliminado, Net-Worm.Koobface



Nº Total de Directorios: 6395

Nº Total de Ficheros: 59460

Nº de Ficheros Analizados: 21643

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

[msc hotline sat]

Enhorabuena !



Pues parece que el BILL108.EXE habia dejado descendientes...



Con un poco de suerte, una vez eliminados estos ya no volverá a generarse el HOSTS malicioso y podrás entrar en las webs antivirus y demás.



Tras comprobarlo, nos lo cuentas y, si crees que todo está solucionado, daremos por solucionado el Tema.



Saludos



ms, 12-7-2011

[where]

No todavia no se me solucina lo del hosts y las anomalias siguen siguiendo practicamente las mismas. noooo que hago?

el archivo svchost.exe que hos envie no lo examinasteis?

este es el log que genero en modo seguro de red la segunda vez que lo puse en marcha:



(12-7-2011 14:22:08 (GMT))

EliStartPage v23.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-7-2011 14:30:57 (GMT))

EliStartPage v23.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\unzipped\aokomon.dll\AOKOMON.DLL.VIR --> Eliminado, Net-Worm.Koobface

C:\WINDOWS\system32\AOKOMON.DLL.VIR --> Eliminado, Net-Worm.Koobface

C:\WINDOWS\system32\CERTOKO.DLL.VIR --> Eliminado, Net-Worm.Koobface

C:\WINDOWS\system32\CFGORMD.DLL.VIR --> Eliminado, Net-Worm.Koobface



Nº Total de Directorios: 6395

Nº Total de Ficheros: 59460

Nº de Ficheros Analizados: 21643

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(12-7-2011 14:42:20 (GMT))

EliStartPage v23.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Acción Directa):

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-7-2011 14:50:59 (GMT))

EliStartPage v23.61 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Julio del 2011)

--------------------------------------------------

Usuario: Sonia

ID de Usuario: S-1-5-21-1454471165-1580818891-682003330-1003



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6393

Nº Total de Ficheros: 59457

Nº de Ficheros Analizados: 21639

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Como que ya hemos hecho lo conocido, y aunque se han encontrado y eliminado malwares, por lo que dices no ha sido suficiente, vamos a salir a matar, aunque prefiramos siempre conseguir muestra de los causantes para controlarlos, pero imagino que tienes algo mas de koobface que no conocemos, por lo que conviene descargues el cureit y una vez lo tengas, lo lances, a ver que encuentra, y si con ello se soluciona, nos conformaremos en saber lo que ha encontrado y demás...



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe



ya nos contarás, gracias



saludos



ms, 12-7-2011