Virus Java

faith76 · Mensaje por **faith76** » 20 Ene 2013, 13:53

Hola a todos de nuevo y gracias de antemano por la ayuda.

Hace tiempo que, aunque mantengo Java actualizado, lo he desactivado del navegador debido a todas sus vulnerabilidades. Sin embargo, estos días tuve que activarlo para hacer algunas gestiones y Avast me avisó de que la página que visitaba estaba infectada. Al hacer un escaneo más profundo, me detectó los virus que adjunto en la captura de pantalla. Así pues, y ya con Java deshabilitado de nuevo, lo que hice fue:

-Descargar Elistara y ejecutarlo como administrador en modo seguro. Detectó un HOST no estándar, que quiso restaurar pero no pudo porque el programa se colgó. Al volver a ejecutarlo, no salía nada de eso, por lo que no sé si lo llegó a restaurar.

-Descargar Sproces, que ejecuté en modo normal como administrador y que NO GENERA LOG ALGUNO. Lo tengo en el escritorio, a la espera de instrucciones.

Debo decir que, después de pasar las dos herramientas, Internet Explorer me muestra cada dos por tres el mensaje de "Internet explorer no funciona" y se cuelga.

Así pues, espero vuestro consejo... y gracias otra vez.

Por ciero, el log del elistara es el siguiente (ya que el Sproces no suelta prenda)

(20-1-2013 12:17:27 (GMT))

EliStartPage v26.90 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2013)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate

Usuario: Usuario

ID de Usuario: S-1-5-21-1183879157-3856826365-3823746819-1000

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(20-1-2013 12:20:10 (GMT))

EliStartPage v26.90 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2013)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate

Usuario: Usuario

ID de Usuario: S-1-5-21-1183879157-3856826365-3823746819-1000

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3376

Nº Total de Ficheros: 29099

Nº de Ficheros Analizados: 10189

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(20-1-2013 12:22:45 (GMT))

EliStartPage v26.90 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 18 de Enero del 2013)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate

Usuario: Usuario

ID de Usuario: S-1-5-21-1183879157-3856826365-3823746819-1000

Lista de Acciones (por Exploración):

Explorando "D:\"

Nº Total de Directorios: 402

Nº Total de Ficheros: 4345

Nº de Ficheros Analizados: 584

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 20 Ene 2013, 17:43

Si el ELISTARA ya no detcta el HOST modificado, es que lo ha restaurado por el original.

Y sobre lo que indica el AVAST de estos ficheros sospechosos, envienoslos para analizar y controlar:

Para ello, recordar https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 20-1-2013

faith76 · Mensaje por **faith76** » 21 Ene 2013, 09:08

Hola otra vez y gracias por responder tan pronto.

Acabo de enviar las muestras solicitadas (aunque lo he hecho por separado y no en un único archivo, porque me ha costado un poco). A la espera de lo que me digáis, volveré a pasar las herramientas descargadas y, si hay alguna novedad, la postearé.

Saludos

Mensaje por **msc hotline sat** » 21 Ene 2013, 10:19

Recibidas las muestras, las pasamos a contriolar a partir del ELISTARA 26.91 de hoy

Los preanalisis de virustotal ofrecen estos informes:

SHA256: 500af2011e225c9f1cc6de56a7dc0cb5bba09e421e9ed29bbc365f3e60d0d6ff

SHA1: c16f1ab6cbb25314a73ebaefbb2e9193f54e739c

MD5: 51302c5a9b67fa5e40420bb322b92ab7

Tamaño: 1021 bytes ( 1021 bytes )

~~[b]~~Nombre: Aaa34.class[/b]

Tipo: unknown

Etiquetas: exploit cve-2012-1723

Detecciones: 9 / 46

Fecha de análisis: 2013-01-21 08:16:13 UTC ( hace 1 hora, 3 minutos )

Antivirus Resultado Actualización

Agnitum - 20130120

AhnLab-V3 - 20130120

AntiVir Java/Treams.G 20130121

Antiy-AVL - 20130120

Avast Java:CVE-2012-1723-ADJ [Expl] 20130121

AVG - 20130121

BitDefender - 20130121

ByteHero - 20130118

CAT-QuickHeal - 20130121

ClamAV - 20130121

Commtouch - 20130121

Comodo - 20130121

DrWeb - 20130121

Emsisoft - 20130121

eSafe - 20130120

ESET-NOD32 - 20130120

F-Prot - 20130121

F-Secure - 20130121

Fortinet - 20130121

GData Java:CVE-2012-1723-ADJ 20130121

Ikarus Java.CVE.2012 20130121

Jiangmin - 20121221

K7AntiVirus - 20130119

Kaspersky - 20130121

Kingsoft - 20130121

Malwarebytes - 20130121

McAfee - 20130121

McAfee-GW-Edition - 20130121

Microsoft - 20130121

MicroWorld-eScan - 20130121

NANO-Antivirus - 20130121

Norman Exploit.AAY 20130120

nProtect - 20130121

Panda - 20130120

PCTools - 20130121

Rising - 20130121

Sophos - 20130121

SUPERAntiSpyware - 20130120

Symantec Trojan.Maljava 20130121

TheHacker - 20130120

TotalDefense - 20130120

TrendMicro JAVA_EXPLOIT.AMV 20130121

TrendMicro-HouseCall JAVA_EXPLOIT.AMV 20130121

VBA32 - 20130121

VIPRE Trojan.Java.Generic (v) 20130121

ViRobot - 20130121

________

SHA256: 52b54021564d8447adbc0f44374f0027cb2656625bebdce0527e3abef18406fe

SHA1: d8a250e4da92bc4d6ee3b2e32b785ff4c3bc7067

MD5: 16cdb3e16e54c47e2b8eda6b760c044b

Tamaño: 3.2 KB ( 3257 bytes )

~~[b]~~Nombre: ByteWork.class[/b]

Tipo: unknown

Etiquetas: exploit cve-2013-0422

Detecciones: 7 / 46

Fecha de análisis: 2013-01-21 08:16:29 UTC ( hace 1 hora, 7 minutos )

Antivirus Resultado Actualización

Agnitum - 20130120

AhnLab-V3 - 20130120

AntiVir Java/Treams.JH 20130121

Antiy-AVL - 20130120

Avast Java:Agent-CLA [Trj] 20130121

AVG Java/Exploit.BGL 20130121

BitDefender - 20130121

ByteHero - 20130118

CAT-QuickHeal - 20130121

ClamAV - 20130121

Commtouch - 20130121

Comodo - 20130121

DrWeb - 20130121

Emsisoft - 20130121

eSafe - 20130120

ESET-NOD32 a variant of Java/Exploit.Agent.AV 20130120

F-Prot - 20130121

F-Secure - 20130121

Fortinet - 20130121

GData Java:Agent-CLA 20130121

Ikarus - 20130121

Jiangmin - 20121221

K7AntiVirus - 20130119

Kaspersky - 20130121

Kingsoft - 20130121

Malwarebytes - 20130121

McAfee - 20130121

McAfee-GW-Edition - 20130121

Microsoft Exploit:Java/CVE-2013-0422 20130121

MicroWorld-eScan - 20130121

NANO-Antivirus - 20130121

Norman Exploit.ADC 20130120

nProtect - 20130121

Panda - 20130120

PCTools - 20130121

Rising - 20130121

Sophos - 20130121

SUPERAntiSpyware - 20130120

Symantec - 20130121

TheHacker - 20130120

TotalDefense - 20130120

TrendMicro - 20130121

TrendMicro-HouseCall - 20130121

VBA32 - 20130121

VIPRE - 20130121

ViRobot - 20130121

Dicha version del ELISTARA 26.91 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 21-1-2013

faith76 · Mensaje por **faith76** » 21 Ene 2013, 11:33

Pues vaya con el bicho...

Ahora me queda la duda de saber si debo hacer algo más o si me doy por "desinfectada". He vuelto a pasar el Elistara y no ha detectado nada, y el Sproces tampoco genera log de esta vez (y al darle a SCAN sale vacío, lo cual es rarísimo).

El problema con Internet Explorer sí se ha solucionado, por cierto, nada más reiniciar.

Saludos.

Mensaje por **msc hotline sat** » 21 Ene 2013, 20:37

Entonces no hace falta buscar cinco pies al gato :wink:

Si ya no persisten las anomalías, démoslo por solucionado, y si nos necesita de nuevo, ya sabe donde estamos.

Y para su conocimiento, el SPROCES , al pulsar en SALIR, genera un nuevo fichero SPROCLOG.TXT sustituyendo el que había, pero con el mismo nombre, lo cual posiblemente lo pasaba por alto y pensaba que no creaba ningun.

Y conforme indicado, damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms, 21-1-2013

Virus Java

Virus Java

Re: Virus Java

Re: Virus Java

Re: Virus Java

Re: Virus Java

Re: Virus Java