virus que crea acceso directo en los pendrive

Responder
Chadalu13
Mensajes: 12
Registrado: 21 May 2009, 00:07

virus que crea acceso directo en los pendrive

Mensaje por Chadalu13 » 12 Mar 2017, 16:05

Hola gente linda quisisera su ayuda por pasa que a mi pc le entro el virus que crea el acceso directo en los pendrive, pero ya lo pase el elistara y el elibvna y lo pase en modo seguro y no paso nada no elimino el virus sigue creando accesos directos incluso en modo seguro ayuda por favor !!!!!!!!!!!

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus que crea acceso directo en los pendrive

Mensaje por msc hotline sat » 13 Mar 2017, 11:19

Hay muchos virus que ocultan ficheros y carpetas y crean con su nombre accesos directos al fichero malware, los cuales vamos controlando a medida que los vamos conociendo.



Fijate en el nombre del fichero que lanza cualquier link de estos y envianoslo como muestra para analizar y controlar



Y te adelanto que, como que por tu IP, parece que estás en Bolivia, por ahí hay mucho CRISAS o BONDAT, como el último del que informabamos, y que podría ser una variante del que tienes:



http://www.zonavirus.com/noticias/2017/nueva-variante-de-jscrisas-alias-bondat-infecta-pendrives.asp



Dicho virus lo detectamos inicialmente en Colombia, luego en Perú y Ecuador, y como sea que se propaga por pendrive, y estás en su área de influencia, por ello creo probable que puede ser una variante del que tienes.



Tan pronto recibamos el fichero pedido, lo analizaremos e informaremos, además de crear la nueva versión del ELISTARA que lo controle y elimine.



Saludos



ms, 13-3-2017

D1n4m1c
Mensajes: 3
Registrado: 15 Mar 2017, 15:20

Re: virus que crea acceso directo en los pendrive

Mensaje por D1n4m1c » 16 Mar 2017, 13:57

Buen día, quería aportar un poquito , y con respecto a este problema yo uso un programa que hasta ahora no me ha fallado.

Te comparto el enlace de descarga, [color=#FF0000][b][i]enlace retirado[/i][/b][/color] , lo subí para que lo pruebes, es una carpeta en la cual adentro tiene 2 archivos,

el primer archivo se llama "comando para ver todo" es un .bat y el segundo se llama "reparador de ficheros=Jj-1000"

y es un .exe , lo que deberias hacer si quieres probar es copiar los 2 al pentdrive infectado y ejecutar primero el .bat ,que básicamente es solo para ver los archivos ocultos y el segundo es para devolver los archivos originales y eliminar los molestos accesos directos.

Cabe aclarar que esto solo desinfecta el pentdrive, por lo que si tu computadora sigue infectada , te volverá a suceder hasta que logres desinfectar el equipo. Generalmente esta en ejecución constantemente , deberias fijarte los procesos que tienes activos, o métete en "msconfig" por medio de ejecutar (con la tecla Windows+R) y chequea los programas que están en el inicio , si ves alguno raro revisa la ruta para ver si es un script.

El proceso se puede llamar wscript.exe y el nombre del virus puede variar pero uno de esos es mugen.vbs .

También debes eliminarlo del pentdrive.

Espero haber sido de ayuda , Saludos.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus que crea acceso directo en los pendrive

Mensaje por msc hotline sat » 16 Mar 2017, 17:13

El BAT que has enviado lanza simplemente un:



attrib -a -s -r -h *.* /s /d



con lo que quita los atributos incluso los de sistema y ocultos a los ficheros, de forma que puedas verlos sin mas...



Pero el EXE lo detectan los antivirus como adware, asi que saco el link del Tema para no despertar sospechas de ficheros víricos en el foro, aunque fueran falsos positivosm y si se quiere usar el BAT, ejecutar la linea arriba indicada y, visto el fichero al que llaman los enlaces maliciosos, enviarnoslo para analizar y controlar.



De todas formas gracias por tu colaboración



saludos



ms, 16-3-2017

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: virus que crea acceso directo en los pendrive

Mensaje por msc hotline sat » 16 Mar 2017, 17:46

Y el preanalisis de virustotal sobre el EXE "reparador", ofrece el siguiente informe:





MD5 2793e759da0e36c672d30b06080c2d1b

SHA1 000941e64ba2b02e59a07f100585d1e6e1f0f58b

Tamaño del fichero 22.5 KB ( 23040 bytes )

SHA256: c0c05cd7c0c5a302eff8ca079b6cd24b6e012338a962bc00a880922dd34186bf

Nombre: reparador de ficheros=Jj-1000.exe

Detecciones: 28 / 62

Fecha de análisis: 2017-03-16 16:19:25 UTC ( hace 1 minuto )

0 1



Antivirus Resultado Actualización

AegisLab Uds.Dangerousobject.Multi!c 20170316

Avast Win32:Evo-gen [Susp] 20170316

Avira (no cloud) TR/Rogue.8155950 20170316

AVware Trojan.Win32.Generic!BT 20170316

Comodo UnclassifiedMalware 20170316

DrWeb Trojan.AVKill.23302 20170316

Endgame malicious (moderate confidence) 20170222

Fortinet W32/Dx.BFLH!tr 20170316

GData Win32.Trojan.Agent.5DNZ7N 20170316

Ikarus Trojan.Rogue 20170316

Invincea trojan.win32.multiinjector.c!rfn 20170203

Kaspersky UDS:DangerousObject.Multi.Generic 20170316

Kingsoft Win32.Troj.Generic.(kcloud) 20170316

McAfee Artemis!2793E759DA0E 20170316

McAfee-GW-Edition BehavesLike.Win32.Dropper.mc 20170316

NANO-Antivirus Trojan.Win32.AVKill.bjtaro 20170316

Palo Alto Networks (Known Signatures) generic.ml 20170316

Qihoo-360 Win32/Trojan.Multi.daf 20170316

Rising Trojan.Generic (cloud:v1bxPkzKxLS) 20170316

SentinelOne (Static ML) static engine - malicious 20170315

Symantec Trojan.Gen.2 20170315

TheHacker Posible_Worm32 20170315

TrendMicro TROJ_SPNR.0CL313 20170316

TrendMicro-HouseCall TROJ_SPNR.0CL313 20170316

VIPRE Trojan.Win32.Generic!BT 20170316

Webroot W32.Malware.Gen 20170316

Yandex Trojan.Kryptik!8c8x7AvDFas 20170315

ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170316



Lo hemos subido a monitorización para ver lo que hace, si bien vemos que ya hace 4 años fue subida al virustotal:



[b][i]First submission 2013-03-07 10:16:36 UTC ( hace 4 años )

Last submission 2017-03-16 16:19:25 UTC ( hace 9 minutos )

Nombres reparador de ficheros=Jj-1000.exe

reparador de ficheros=Jj-1000.exe

reparador de ficheros=Jj-1000.exe

2793e759da0e36c672d30b06080c2d1b

Advanced heuristic and reputation engines

ClamAV Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see: https://www.clamav.net/documents/potentially-unwanted-applications-pua .[/i]
[/b]




Como vemos en la descripción del último enlace, lo consideran PUP (Potential unwanted program), aunque visto lo que hace, parece un simple BAT convertido a EXE, aplicando las instrucciones del ATTRIB ya contempladas en el BAT que has enviado, si bien lo consideran "POTENCIALMENTE INDESEABLE" ... ???



De todas formas nosotros utilizamos para todos los que hacen servir el AUTORUN.INF, nuestro ELIPEN.EXE , que además deja protegidos los pendrives contra dicho tipo de virus de "AUTORUN"



Otra cosa son los que ocultan ficheros y carpetas y crean enlaces al malware, los cuales vamos controlando con el ELISTARA, pero siempre existirán nuevos desconocidos hasta que se nos envien muestras del malware, como pedimos en este caso.



saludos



ms, 16-3-2017

Responder

Volver a “Foro Virus - Cuentanos tu problema”