virus similar a recycler (SOLUCIONADO)

[gallysam]

tengo bastante experiencia tratando con virus pero en esta ocacion tengo una computadora ha sido infectada por un virus con comportamiento similar al de los recycler, sin embargo los métodos normales para eliminarlo no funcionan y no he encontrado un antivirus que lo detecte.



los síntomas se dan al insertar cualquier memoria USB y son los siguientes:



todos las carpetas quedan ocultas y con atributos de sistema



se crea un link para cada carpeta que se ocultó.



cada acceso directo esta dirigido a

" %windir%\system32\cmd.exe /c "start %cd%RECYCLER\0xD80A89C7.exe &&%windir%\explorer.exe %cd%folder_name " donde folder_name es el nombre de la carpeta que se substituye



en la memoria se crea una carpeta RECYCLER que contiene un ejecutable con nombre 0xD80A89C7.exe



no he encontrado valores de registro anomalos y hijackthis no reporta nada inusual

[msc hotline sat]

Pues prueba el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y protege ordenador y pendrives con el ELIPEN:



[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif[/img]

y vacunar el ordenador y las unidades de pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 14-4-2011

RMXDF

[msc hotline sat]

Recibida la muestra para analizar



Teneis un RootKit muy peludo, de la familia DORKBOT, como este de ayer de "UNA POSTAL CON AMOR" que comentamos en http://www.zonavirus.com/noticias/2011/una-postalconamor-maligna-y-muy-poco-detectado-actualmente-por-solo-6-de-40-av.asp



Con el ELISTARA de hoy 23.05 controlaremos esta nueva variante, pero sobre todo arranca en MODO SEGURO para ello.



Voy a postear en Noticias este borrador referente a este tuyo:


[quote="msc"]Nueva variante del ROOTKIT DORKBOT (ROOTKIT de ultima generación) solo detectado por 8 de los 42 AV... cuando no está en memoria !







Otra variante del DORKBOT similar al que ya controlamos ayer que llegaba en "UNA POSTAL CON AMOR" y que tambien se oculta de mala manera imposibilitando verlo cuando está residente en memoria, nos ha llegado hoy y lo pasamos a controlar a partir del ELISTARA 23.05, pero siempre y cuando se arranque en MODO SEGURO !!!





File name: 0xD80A89C7.exe

Submission date: 2011-04-14 08:30:25 (UTC)

Current status: queued queued analysing finished





Result: 8/ 42 (19.0%)

VT Community



not reviewed

Safety score: -

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.04.14.00 2011.04.14 -

AntiVir 7.11.6.105 2011.04.14 -

Antiy-AVL 2.0.3.7 2011.04.14 -

Avast 4.8.1351.0 2011.04.14 -

Avast5 5.0.677.0 2011.04.14 -

AVG 10.0.0.1190 2011.04.13 -

BitDefender 7.2 2011.04.14 -

CAT-QuickHeal 11.00 2011.04.14 -

ClamAV 0.97.0.0 2011.04.14 BC.Heuristic.Trojan.SusPacked.BF-6.B

Commtouch 5.2.11.5 2011.04.14 -

Comodo 8332 2011.04.14 Heur.Corrupt.PE

DrWeb 5.0.2.03300 2011.04.14 -

Emsisoft 5.1.0.5 2011.04.14 Virus.Win32.VBInject!IK

eSafe 7.0.17.0 2011.04.13 -

eTrust-Vet 36.1.8271 2011.04.14 -

F-Prot 4.6.2.117 2011.04.13 -

F-Secure 9.0.16440.0 2011.04.14 -

Fortinet 4.2.257.0 2011.04.14 -

GData 22 2011.04.14 -

Ikarus T3.1.1.103.0 2011.04.14 Virus.Win32.VBInject

Jiangmin 13.0.900 2011.04.13 -

K7AntiVirus 9.96.4382 2011.04.13 -

Kaspersky 7.0.0.125 2011.04.14 -

McAfee 5.400.0.1158 2011.04.14 -

McAfee-GW-Edition 2010.1C 2011.04.14 -

Microsoft 1.6702 2011.04.14 VirTool:Win32/VBInject.gen!DQ

NOD32 6039 2011.04.14 -

Norman 6.07.07 2011.04.13 -

Panda 10.0.3.5 2011.04.14 -

PCTools 7.0.3.5 2011.04.13 -

Prevx 3.0 2011.04.14 Medium Risk Malware

Rising 23.53.02.06 2011.04.13 -

Sophos 4.64.0 2011.04.14 Mal/Generic-L

SUPERAntiSpyware 4.40.0.1006 2011.04.14 -

Symantec 20101.3.2.89 2011.04.14 -

TheHacker 6.7.0.1.173 2011.04.13 W32/Behav-Heuristic-CorruptFile-EP

TrendMicro 9.200.0.1012 2011.04.14 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.14 -

VBA32 3.12.16.0 2011.04.13 -

VIPRE 9011 2011.04.14 -

ViRobot 2011.4.14.4409 2011.04.14 -

VirusBuster 13.6.303.0 2011.04.13 -

Additional informationShow all



MD5 : f01f0c006ae17d971878795537d3be0c

SHA1 : d57bc498ebe582f97588fbf4f5bbc5ca02e0e956



File size : 114706 bytes



publisher....: SiCo

copyright....: n/a

product......: eeeeeeee

description..: n/a

original name: eeee.exe

internal name: Modd

file version.: 1.00



Al respecto ver lo que deciamos en http://www.zonavirus.com/noticias/2011/una-postalconamor-maligna-y-muy-poco-detectado-actualmente-por-solo-6-de-40-av.asp



La version del ELISTARA 23.05 que detectará y eliminará dicha nueva variante, estará disponible en nuestra web a partir de las 19 h CET de hoy



Recordamos que es muy importante haber arrancado en MODO SEGURO tanto para detectyar como para eliminar dicho engendro !



saludos



ms, 14-4-2011
[/quote]



Espero que con lo indicado sea suficiente, pruebalo a partir de las 19 h CET (las 12 en tu zona) y nos comentas el resultado, gracias



saludos



ms, 14-4-2011

[msc hotline sat]

Además de lo indicado, intentaremos eliminar los LNK y restablecer los atributos de las carpetas para devolverles la visibilidad, lo cual haremos gracias a lo que nos ha indicado, ya que ayer no observamos lo de las carpetas de los pendrives al no existir ninguna en los de prueba.



A las que correspondan a los LNK que ejecuten el malware, les quitaremos el atributo S y tambien el H, que hemos visto que tambien pone en dichas carpetas, aunque no hiciere falta, pues solo con el de Sistema ya estarían ocultas...



Pues en parte es una suerte que haga esto, porque es un sintoma el cual usar para que el usuario arranque en MODO SEGURO para lanzar el ELISTARA, ya que si no lo hiciera, no tendriamos motivo para que arrancara en dicho modo, y no detectariamos el RootKit !



No hay mal que por bien no venga !



saludos



ms, 14-4-2011

[gallysam]

gracias por la respuesta, al parecer elistara 23.06 logro eliminar la infeccion, el reporte indica lo siguiente





(18-4-2011 18:13:26 (GMT))

EliStartPage v23.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2011)

--------------------------------------------------

Usuario: jlgm

Sesión de Usuario: jlgm

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\JLGM\DATOS DE PROGRAMA\XSVCVZ.EXE --> Eliminado Worm.Dorkbot

Entrada Eliminada [HKCU\...\Run] "XSVCVZ"="C:\Documents and Settings\jlgm\Datos de programa\Xsvcvz.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.



(18-4-2011 18:27:23 (GMT))

EliStartPage v23.06 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 15 de Abril del 2011)

--------------------------------------------------

Usuario: jlgm

Sesión de Usuario: jlgm

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\jlgm\Datos de programa\189.TMP --> Eliminado, Worm.Dorkbot

C:\Documents and Settings\jlgm\Datos de programa\1C.TMP --> Eliminado, Worm.Dorkbot



Nº Total de Directorios: 11704

Nº Total de Ficheros: 141708

Nº de Ficheros Analizados: 38200

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



hasta el moomento no he encontrado rastros de la infeccion, en caso de que regrese posteo de nuevo...





saludos y gracias por la pronta respuesta...

[lucl]

Bien, pues cerramos el tema dandolo por solucionado. Si nos necesitas ya sabes donde estamos, saludos.

[msc hotline sat]

Recibimos fichero para analizar con relacion a este Tema ya cerrado, en el que contestamos ya que se nos indica tener relacion con dichoi fichero:







[b][i]"Envio de muestra para su analisis

Le adjuntamos un fichero comprimido, llamado RECYCLER.rar





--------------------------------------------------------------------------------

Nombre: RECYCLER.rar | Tamaño: 182 Bytes

MD5: 4867A4E511A6BFC7F9942D0A1E3629B9

--------------------------------------------------------------------------------



Para su analisis en busca de virus o spyware.



En referencia al siguiente post...

Ver Tema - virus similar a recycler (SOLUCIONADO)"[/i][/b]



_______





DIcho fichero es EL desktop.ini típico de la papelera:





[i][b][.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}[/b][/i]





Los DESKTOP.INI son los ficheros que indican las propiedades de las carpetas que los contienen.







Si desea algo mas al respecto, abra nuevo Tema donde explique su problema, gracias



saludos



ms, 17-4-2013