Ayuda por favor, estoy desesperado, posible virus

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Ayuda por favor, estoy desesperado, posible virus

Mensaje por msc hotline sat » 30 Ago 2011, 15:20

Pues muchas gracias por la informacion, que ya hemos subido a las Noticias, dado que es una primicia informativa muy relevante !!! :



http://www.zonavirus.com/noticias/2011/un-nuevo-gusano-infecta-windows-a-traves-del-protocolo-de-escritorio-remoto.asp



Hoy aun cerramos a las 15 h (mañana es el ultimo día de jornada intensiva) y antes de cerrar ya hemos quedado con mis compañeros que lo primero de mañana por la mañana será estudiar a fondo lo descrito en el informe y ver como lo podemos controlar, que seguro será peludo, dado lo que dicen sobre que los AV no pueden controlarlo ...



Ya informaremos de lo que veamos y hagamos al respecto



Saludos y gracias



ms, 30-8-2011
Arriba
cogswap
Mensajes: 17
Registrado: 22 Ago 2011, 21:36

Re: Ayuda por favor, estoy desesperado, posible virus

Mensaje por cogswap » 30 Ago 2011, 20:30

De nada, gracias a vosotros por ayudarme, con razon no dabamos con ello al ser nuevo. gracias d nuevo.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Ayuda por favor, estoy desesperado, posible virus

Mensaje por msc hotline sat » 30 Ago 2011, 21:21

Es que no solo es nuevo, sino diferente a todos los demás...



Pues a la vista de la mayor informacion, mañana trataremos de detectarlo aunque los ficheros que indican que usa, no los veo en los logs, y la DLL de marras dicen que tiene el mismo nombre que una del sistema operativo... digamos que será peludo, pero torres mas altas han caido ! :)


[quote]
The following files are also created by the malware:



•%windows%\temp\ntshrui.dll

•<system folder>\sens32.dll

•c:\windows\offline web pages\cache.txt
[/quote]

Aparte de anexar en la Noticia las novedades que veamos, te informaremos en este Tema de lo que creamos oportuno que puedas hacer, cuando vuelvas de vacaciones, o que hagan los que has dejado trabajando...



Cada verano hay un "marron", hace unos años hubo el Blaster o Lovsan, el año pasado el Stuxnet, y este año será este, que esperamos pisar como los otros !



seguiremos informando.



saludos



ms, 30-8-3011

RSPBAR
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Ayuda por favor, estoy desesperado, posible virus

Mensaje por msc hotline sat » 31 Ago 2011, 07:37

Hemos añadido lo siguiente en la NOTICIA a respecto:



"Preocupados por este nuevo malware, y hasta que lo controlemos especificamente, ofrecemos informe de VirusTotal y medio de detección de la DLL en cuestión, con nuestras utilidades:





File name: File.dll

Submission date: 2011-08-30 10:54:11 (UTC)

Current status: finished

Result: 29 /44 (65.9%)

VT Community



not reviewed

Safety score: -

Compact Print results Antivirus Version Last Update Result

AhnLab-V3 2011.08.30.00 2011.08.30 Win-Trojan/Helpagent.7184

AntiVir 7.11.14.29 2011.08.30 Worm/Morto.A

Antiy-AVL 2.0.3.7 2011.08.30 -

Avast 4.8.1351.0 2011.08.30 Win32:Trojan-gen

Avast5 5.0.677.0 2011.08.30 Win32:Trojan-gen

AVG 10.0.0.1190 2011.08.30 BackDoor.Generic14.AEBF

BitDefender 7.2 2011.08.30 Win32.Worm.Morto.B

ByteHero 1.0.0.1 2011.08.22 -

CAT-QuickHeal 11.00 2011.08.30 -

ClamAV 0.97.0.0 2011.08.30 Worm.Morto-1

Commtouch 5.3.2.6 2011.08.30 W32/Morto.A

Comodo 9929 2011.08.30 -

DrWeb 5.0.2.03300 2011.08.30 Win32.HLLW.Morto.2

Emsisoft 5.1.0.10 2011.08.30 Backdoor.Win32.Morto!IK

eSafe 7.0.17.0 2011.08.29 -

eTrust-Vet 36.1.8530 2011.08.30 Win32/Morto.A

F-Prot 4.6.2.117 2011.08.30 W32/Morto.A

F-Secure 9.0.16440.0 2011.08.30 Worm:W32/Morto.D

Fortinet 4.3.370.0 2011.08.30 -

GData 22 2011.08.30 Win32.Worm.Morto.B

Ikarus T3.1.1.107.0 2011.08.30 Backdoor.Win32.Morto

Jiangmin 13.0.900 2011.08.29 -

K7AntiVirus 9.111.5068 2011.08.29 -

Kaspersky 9.0.0.837 2011.08.30 Trojan.Win32.Pakes.qay

McAfee 5.400.0.1158 2011.08.30 Artemis!EBB3A5964DA4

McAfee-GW-Edition 2010.1D 2011.08.30 Artemis!EBB3A5964DA4

Microsoft 1.7604 2011.08.30 Worm:Win32/Morto.A

NOD32 6421 2011.08.30 Win32/Morto.A

Norman 6.07.10 2011.08.30 W32/Morto.A

nProtect 2011-08-30.01 2011.08.30 -

Panda 10.0.3.5 2011.08.30 Trj/CI.A

PCTools 8.0.0.5 2011.08.30 Backdoor.Trojan

Prevx 3.0 2011.08.30 -

Rising 23.73.01.03 2011.08.30 -

Sophos 4.68.0 2011.08.30 Troj/Agent-TEE

SUPERAntiSpyware 4.40.0.1006 2011.08.30 -

Symantec 20111.2.0.82 2011.08.30 Backdoor.Trojan

TheHacker 6.7.0.1.286 2011.08.29 -

TrendMicro 9.500.0.1008 2011.08.30 -

TrendMicro-HouseCall 9.500.0.1008 2011.08.30 WORM_MORTO.A

VBA32 3.12.16.4 2011.08.30 -

VIPRE 10315 2011.08.30 Trojan.Win32.Generic!BT

ViRobot 2011.8.30.4647 2011.08.30 Worm.Win32.Agent.7184

VirusBuster 14.0.191.0 2011.08.29 Worm.Morto!D50NEgERHOA

Additional informationShow all

MD5 : ebb3a5964da485c0b9e67164b047a7a5

SHA1 : 5df13bd65f7bd7035ef06b3cea5583f9bfdc6588



File size : 54484 bytes







De momento, para detectar posible fichero DLL con dicho virus, probar con nuestro ELIMD5.EXE entrando este hash: ebb3a5964da485c0b9e67164b047a7a5







[b]DESCARGA DE ELIMD5.EXE :



http://www.zonavirus.com/descargas/descargar-elimd5.asp[/b]



saludos



ms, 31-8-2011
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Ayuda por favor, estoy desesperado, posible virus

Mensaje por msc hotline sat » 31 Ago 2011, 09:22

Y finalmente añadimos a partir del ELISTARA 23.77 de hoy, el control y eliminacion de las DLL que instala dicho malware:



en windir la CLB.DLL , que existe normalmente en la carpeta de sistema



en la carpeta de sistema un SENS32.DLL, donde existe uno pero sin el 32



y en windir\temp un NTSHRUI.DLL, que existe normalmente en la de sistema



Dicha version del ELISTARA 23.77 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy.



Solo resta aconsejar para evitar este y otros que ingresan probando passwords, el utilizar CONTRASEÑAS SEGURAS, esto es, alfanumericas, y mezclando mayúsculas y minúsculas, no las básicas que son las que prueban algunos malwares como este,



Con ello damos por controlado este MORTO que aparentaba ser de un grado de detección dificil ...





saludos



ms, 31-8-2011
Arriba
cogswap
Mensajes: 17
Registrado: 22 Ago 2011, 21:36

Re: Ayuda por favor, estoy desesperado, posible virus

Mensaje por cogswap » 31 Ago 2011, 10:16

Muy bien. Duro con el!
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Ayuda por favor, estoy desesperado, posible virus

Mensaje por msc hotline sat » 31 Ago 2011, 12:02

Sí, y a ver si utilizan contraseñas duras... que si no, los nuevos bichos entran como Don Pedro por su casa !



Probar la nueva version del ELISTARA 23.77 , y si antes pasan el ELIMD5 con estos hash y nos envian los ficheros que haya enviado a C:\muestras , podremos ensayar especificamente los integrantes de dicho malware:



ebb3a5964da485c0b9e67164b047a7a5



4e69179bb79de93584e87c4763f6c664



2eef4d8b88161baf2525abfb6c1bac2b



6ef06c7a2d05d3d39d0fb601dc99c8fa





Y aunque ya apuntabamos a alguno, el hecho de no controlarlos todos hacía que se regeneraran al reiniciar, a ver si ahora no olvidamos nibguno y nos los cargamos todos !



saludos



ms, 31-8-2011
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”