Troyanos y cosas raras

[formiga]

Buenas tardes foreros!!!!

Esto va a ser largo, pero es que voy a exponer dos problemas (pack de oferta) :roll:

Problema 1.- Troyano/s?

Hace unos tres dias me salió el típico msg, del antivirus diciendome que tenia el virus W32/SdBot.worm.gen.o

Que no lo podia eliminar, desinfectar ni nada.

Nervios, histeria... y reinicio para pasar el antivirus en modo a prueba de fallos. Pero no me dectectó nada :shock: Pasé el EliRPC y el EliSLUTER, y nada :shock: :shock: Rauda y veloz fui a pasar un antivirus online...nada :shock: :shock: :shock:

Reinicié en modo normal, y fui a buscar el supuesto archivo infectado, y resulta que me lo habia renombrado con una extension .VIR.

Como me ha ido saliendo varias veces la alerta, he ido al visor de sucesos para hacer un repaso de las alertas y buscar los archivos infectados, ahi ha sido donde he visto que ademas me habia detectado otro virus o troyano (creo que esto último) del que no he visto la alerta; un tal Proxy-FBSR.gen. BUeno el caso es que todos los archivos han sido renombrados con la extension .vir y todos con 0 Kb. Me los he cargado.

asi que no se si tengo pululando por aqui el troyano o no. Y no se por donde se cuela, tengo windows actualizado, el antivirus tb, como es que me dice que no lo puede eliminar?

Problema 2.- Mientras estaba mirando el visor de sucesos se me ha ocurrido mirar el registro del sistema... y OH veo un porron de errores, a razon de 3 por minutos, y esto comprobado, solo cuando estoy conectada a internet. Y me escama musho. Es este:

----------------------------------

Acceso denegado al intentar iniciar un servidor DCOM usando DefaultLaunchPermission. El servidor es:

{00020906-0000-0000-C000-000000000046}

El usuario es Unavailable/Unavailable, SID=Unavailable.

-----------------------------------

:shock: :shock: :shock: :shock:

Siempre es igual, con los numeritos esos que no cambian. Alguien sabe que demonios es eso?

SE me olvidaba, este error me viene saliendo por lo menos desde el 1 de mayo, que es hasta donde llegan las alertas del visor, y yo no he notado nada raro.

Y eso es todo. Largo eh??!!!

Saludos!!!!!

[msc hotline sat]

Vale formiga, dons anem per feine:



Los virus y troyanos se cargan desde el registro o desde el inicio ejecutando un fichero gusano, el cual si está en usp, windows no deja eliminarlo ni limpiarlo, razóm del mesaje de marras.



Pero Windows 2000 y XP tienen la caracteristica de que se puede renombrar el fichero en uso, y sigue en uso el renombrado, igual que se puede mover a cualquier otra parte, siguiendo en uso desde la otra parte.



Claro está que cuando se reinicia el ordenador, no sabrá que se le ha cambiado el nomnre o la ubicacion, por lo cual no lo encontrará y no podrá ponerlo en marcha, y al no estar en uso, podrá eliminarse bien el fichero renombrado o el cambiado de sitio, por esto se hace asíi, renombrar a VIR o poner en cuarentena, y tras el reinicio ya se pueden eliminar los ficheros.



Otra cosa son nuestras utilidades, con las que detenemos en proceso vñirico en marcha, tras lo cual ya podemos borrar el fichero y restaurar las claves.



Y vamos por la segunda parte:



Los ataques de intento de intrusion vía ports, bien sea el RPCDCOM 135 como el Blaster, o el TCP 445 como el Sasser, si hay el antivirus al día, se quedan en el intento, y si hay los parches correspondientes, ni eso.



Los intentos con el RPCDCOM son evitados si además del antivirus que lo controle hay los parches correspondientes, en este caso el MS04-012 y para el caso del SASSER es el MS04-011, ambos acumulativos, pero de su especie, esto es, el MS04-012 del RPCDCOM es acumulativo de los otros de su especie, MS03-39 y este a su vez del MS03-026, pero no de otros aunque sean inferiores, como el mismo del SASSER, que aun siendo el MS04-011 no es tapado por el MS04-012, aunque este sea acumulativo.



Moraleja, parches y antivirus actualizados a la última y todos, pues hay husanos como el Nachi.B o Welchia que entra por RPCDCOM y por otros como el MS03-049, por lo que la falta de cualquiera de ellos provoca la posibilidad de entrada del virus, aunque todos los demás estuvieran parcheados.



Estas teniendo ataques. Si fueran del Sasser ya estarías con la cuenta atrás del Error que provoca en Windows, el mismo que ocurría con el Blaster, pues la cuenta atrás no es del virus, sino de proteccion de Windows ante un Error grave, que es lo que provocan estos virus.



Satisfecha ?



saludos



ms, 10-05-2004

[formiga]

Nooooo mas quiero maaaaaaaaaaaaaaaaaaaaaas maaaaaaaaas

:D :D :D

Es que estaba a huevo!!!!

[msc hotline sat]

Pues como te pongas tonta, te escribo entero aquello que empieza así:



EN UN LUGAR DE LA MANCHA DE CUYO NOMBRE NO QUIERO ACORDARME...



salutacions, formiga



ms, 10-05-2004

[formiga]

Ahora en serio.

Los errores esos de intentos de intrusion, son eso, intentos, que ni me entero al estar al dia con los parches... es asi?



Y por lo del troyano, ya me está tocando las narices, me acaba de salir otro msg de alerta por el SdBot...

Que puedo hacer para evitarlo? Me volveria a instalar el zonealarm, pero me daba muchos problemas. Tic farta!!!!!!!!!!!!!!!!!!!!Aaaaaaaaaaaaaaarg

[formiga]

Ah pero alguien recuerda que viene detras de ese "acordarme"?

[msc hotline sat]

Ahora que ya tenía el link para copiarte todo el Quijote, ahota me sales con el SDBOT !



http://enunlugardelamancha.netfirms.com/indice.htm



Bueno, pues con el ELISLUTA que puedes bajar de esta web eliminarás el SDBOT quie tengas, pero la entrada de bichos por comparticiones administrativas, te puede incordiar bastante.



Por ello te recomiendo veas el apartado 10 de la página proncipal y alertas vñiricas de la web de http://www.satinfo.es

y descompartas recursos administrativos, por lo que pueden entrar muchos de estos gusanos, incluyendo los DOWNLOADERS:



http://www.satinfo.es/web/2003/comparticions.html



Evidentemente con un cortafuegos podrás librarte de estas intrusiones, tanto del Blaster y Sasser como de los Downloaders, SDBIT, Randex, etc, pero si quieres que te aconseje yo no soy partidario de cortafuegos por soft, pues los virus los desactivan soplando, y se está contento pero engañado.



Aunque McAfee tenga cortafuegos por software y nuestros comercisales y distribuidores los vendan, y consecuentemente pasen por Satinfo como mayoristas, no tenemos concertado soporte a dicho producto, sino que en su lugar recomendamos cortafuegos por hardware, como el AlphaShield para particulares, autonomos y pymes, y el Clavister para instalaciones profesionales.



Si tienes ADSL y un router que te ofrece salida para ethernet, tipo conector ARJ45, te olvidarías de los problemas de intrusion instalando un alphashield.



Si lo tienes por USB, se está haciendo un modelo para ello, pero todavía no está disponible.



De todas formas hay mucha gente que usa los cortafuegos por software, como el zonealarm, y si decides poner uno de ellos, seguro qie muchos foreros de asesorarán.



saludos, formiga



ms, 10-05-2004

[formiga]

VirusScan NT: The file C:\WINNT\msgfix.exe on "mi nombre" is infected with the virus W32/Sdbot.worm.gen. Unable to clean file. Cleaner unavailable or unable to access the file.

Asi todo el rato.

Genial, y que quiere que le haga yo?????

El elisluta lo he pasado tropecientas mil veces y nunca me encuentra nada. I'm fliping.

Y bueno el zonealarm llevo ya mas de un año usandolo, pero con este "ordenador" (para el nuevo a esperar hasta el miercoles grrr) me daba muchos problemas asi que lo quité.

Quiero deshacerme de este bicho!!!! (el sdbot, no el ordenador) es de un incordio...buf!

Ah se agradece que hayas puesto el link en lugar de El Quijote entero, no dudo de que sea una obra maestra, pero vamos... sin exagerar.

Y si voy a los recursos compartidos y le digo que deje de compartir bastaría? Que implica el hecho de que deje o no de compartir recursos? Usea, hay algo que ya no podria hacer? o se quedaria tan pancho?

Co.... otra vez el mensaje, bua!!!! llevo tres desde que he empezado a escribir .

Ay...

Saludos!!!!!!!!! (cuatro)

[formiga]

cinco

[formiga]

Mira por hablar... me he vuelto a bajar el elisluta, lo paso y tachan!!!



Lista de Acciones:

C:\WINNT\ServicePackFiles\i386\INETMGR.EXE --> Eliminado

?¿

pero como no, el sdbot asqueroso sigue dando la lata.

[msc hotline sat]

El Elisluta te lo elimina, pero tus comparticiines administrativas le vuelven a dejar entrar



Como que hay muchas variantes, enviame una muestra de dicho fichero a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post y lo analizaremos, a ver si se puede bloquear de otro modo.



De todas formas, genericamente debe servir lo indicado en el link de "Comparticiones..." , apartado 10 de la página principal y alertas víricas de http://www.satinfo.es



Pero con un cortafuegos...



saludos, formiga



ms, 11-05-2004

[formiga]

Buenos dias.

Para alegria de muchos voy a zanjar este asunto de una vez por todas.

Hoy me traen el nuevo ordenador y el tecnico-amigo insiste en formatear el disco duro (por prevision y como buena hormiguita he ido grabando en un cd lo importante), cosa que no me parece del todo mal teniendo en cuenta los problemas que he tenido (santa paciencia habeis tenido). Asi que empezaré de cero patatero. Una pregunta-encuesta: NTFS o FAT32?

Otra cosa: Tengo tirado por casa un disco duro que NO quiero formatear, me interesa poder recuperar informacion, pero el pobre estaba hecho polvo por los virus que me entraron en tres dias. Uno de ellos es el valla. Segun he leido por aqui, si lo pongo como esclavo del limpio y le paso el antivirus solucionado, correcto?

Ueps que me iba sin saludar!

Saludos!!!

[msc hotline sat]

Pues que bien, formiga, sabates noves, eh ?



Yo uso XP con FAT32, y tengo otro disco duro en Windows98, pues hay programas que no me corren en XP y todavía tengp que arrancar el 98, y si no tuviera el XP formateado en FAT32 no tendría acceso a la zona de datos del mismo cuando arrancara en Windows 98



Y para meter mano a la estructura de la zona de datos o sectores físicos, he de disponer de FAT32, y poder arrancar desde disquete, en MSDOS, o desde Windows98, pues sino no se accede.



Y correcto lo indicado para el Valla, arrancando desde otro disco duro o con disquete, podrás limpiarlo, y de paso, asegurarte que no tengas ninguno mas.



Y cuidado no corras demasiado con el nuevo, no sea que termines antes de empezar...



saludos formiga



ms, 12-05-2004

[formiga]

AGORERO!!!!

[msc hotline sat]

Mas vale prevenir que curar, formiga.



Y aunque no tenga ninguna bola de cristal, augurar lo mas probable, es simple teoría de probabilidades.



Se dice que estudiando el pasado podrás predecir el futuro, y yo ya tengo mucho pasado...



Tu mateixa...



saludos



ms, 12-05-2004

[formiga]

Que contenta estaba yo con mi ordenador nuevo...

Me he conectado dos veces a internet: ayer para bajarme los parches y actualizar el antivirus, y hoy para acabar de configurar el correo y leerlo.

Pues bien, esta misma mañana, no llevaba mas de 10 minutos con el ordenador encendido y TOMA, otra vez el mierda-bicho-sdbot. :(

FLIPO!!!

Lo de siempre, el archivo infectado que me dice que tengo, es el msgfix.exe, que ya he leido que es el fichero que genera el gusano, por lo que tengo por lo menos 6 procesos activos de dicho ejecutable.

No he tenido tiempo de nada. Luego intentare cargarmelo. Y me instalare lo que me falta, que carambanos!, aun esta a medias.

Ea, ya esta ya me quejé. Que a gusto se queda una :mrgreen:

[msc hotline sat]

Del SDBOT hay tropecientas variantes.



La de este nombre de gusano msgfix.exe notenemos muestra y no la contrlamos con el ELISLUTA.EXE que es la utilidad que vamos controlando los SDBOTS, SLUTAS y SLANPERS.



Envianos dicho fichero a zonavirus@satinfo.es y lo añadiremos al control del ELIRPCA.



Aparte, como que los SDBOTS utilizan comparticiones administrativas para entrar, debes eliminarlas como se indica en el apartado 10 de la página principal de http://www.satinfo.es , pero creo que ya te lo dije, igual que el envio del gusano.



Por si ´no llegas a ver lo que te digo, te hago un copiar y pegar :


[quote]



SERVICIO ASISTENCIA TECNICA INFORMATICA



http://www.satinfo.es



Comparticiones Administrativas en sistemas WindowsNT/2000/XP/2003



Para facilitar su administración, los sistemas Windows NT 4.0, Windows 2000, Windows XP pro y Windows 2003 crean automáticamente comparticiones administrativas ocultas de las unidades lógicas del sistema. Sin embargo, como el sistema crea por defecto las comparticiones, estas son de dominio público, lo cual las convierte en un destino fácil para atacantes.



Las comparticiones que se crean en los sistemas anteriores son las siguientes:



C$, D$, E$ : Raíz de cada partición en el disco.

ADMIN$ : Carpeta raíz del sistema (%SYSTEMROOT%). Se trata de la carpeta de Windows, y el recurso compartido administrativo proporciona a los administradores fácil acceso a la jerarquía de carpetas de la raíz del sistema a través de la red.

FAX$ : Lo utilizan los clientes de fax en el proceso de enviar un fax. Almacena en caché los archivos y tiene acceso a las portadas almacenadas en el servidor de archivos.

IPC$ : Se utiliza en las conexiones temporales entre clientes y servidores mediante canalizaciones con nombre que permiten la comunicación entre programas de red. Se utiliza principalmente para la administración remota de servidores de red.

PRINT$ : Se utiliza para la administración remota de impresoras.



En los últimos meses han proliferado la presencia de troyanos de acceso remoto, que aprovechan estos agujeros de seguridad en los sistemas indicados, para entrar en los mismos y provocar la descarga de otros componentes víricos, gusanos o troyanos. Algunos de estos troyanos son el w32/Graps.worm, BAT/Mumu.worm, w32/Sluter.worm, w32/Sdbot.worm, etc..



El problema con las comparticiones administrativas, es que aunque se borren no son realmente eliminadas. El borrado de una compartición administrativa es sólo temporal; la compartición vuelve a aparecer después del siguiente reinicio del sistema. Además no es posible configurar permisos en comparticiones administrativas.



Microsoft, describe en el siguiente artículo http://support.microsoft.com/?kbid=314984 un método para incluir una clave en el registro del sistema, que impida la creación de dichas comparticiones al reinicio del sistema. Sin embargo, este método no impide que vuelva a generarse IPC$, la cual es utilizada a menudo por los hackers para enumerar sistemas antes de realizar un ataque, ya que es posible extraer una gran cantidad de información sobre la red, incluso utilizando una cuenta anónima.



Como solución, proponemos generar un fichero bat, que incluya las siguientes instrucciones (no copiar las líneas punteadas) y guardarlo en la carpeta de inicio de Windows, o bien lanzarlo vía logon script:



------ Inicio del fichero .bat --------



net share c$ /delete



net share d$ /delete



net share e$ /delete



net share ipc$ /delete



net share admin$ /delete



------ Fin del fichero .bat --------



de este modo, cada vez que arranque el equipo se eliminarán las comparticiones administrativas habitualmente utilizadas por virus (generalmente, c$, d$, e$, ipc$ y admin$).



Nota importante: Según se indica en el artículo de Microsoft arriba referenciado (http://support.microsoft.com/?kbid=314984), algunos servicios de Windows dependen de la existencia de algunos recursos compartidos administrativos. Asimismo, algunos programas de terceros (p.e. ciertos programas de copia de seguridad) pueden requerir la existencia de algunos recursos compartidos.



SATINFO, VIRUSCAN SPAIN SERVICE 11 de Diciembre 2003
[/quote]

Me parece que este ordenador corre mucho para una formiga...



saludos



ms, 13-05-2004

[formiga]

Ejem, si, me lo dijiste, pero como iba a empezar de cero, la verdad es que preferi esperar. Cómo iba a imaginar que esto iba a pasar tan pronto?

Lo de enviar el fichero, asi una preguntilla... creo que cuando le de a buscar al susodicho, me aparecera el renombrado por el antivirus de 0Kb. (creo eh, ahora no lo puedo mirar)Aun asi los preocesos no se si seguiran actvos, aunque me temo que yes.

De donde saco el infectado? (que ignorancia la mia por dios, pero de esta aprendo, como que me llamo ...)

Y noooo, no corre demasiado, ten en cuenta que las hormigas tienen ¿6? patas, y con mi tamaño... Uuuf!

[formiga]

para alla va el msgfix

[msc hotline sat]

Si es de cero bytes como comprenderás ya no nos srve, pero si tiene chicha, es lo que queremos.



Te iba a decir que tenías que desactivar el antivirus para poder enviarlo, pero veo que finalmente dices haber podido, y cuando entre el personal de la web, me lo darán.



Por cierto, ¿en qué carpeta lo has encontrado?, supongo que habrá sido en la de sistema (C:\windows\system32 en XP) como lo hacen los otros SDBOTS, pero si es otra dímelo, que nunca se sabe.



Y con ello te haríamos un nuevo ELISLUTA que lo controlara.



Y ya veo que has contado tus patas y todo, por cierto que debes salir cara de zapatos, tres pares cada vez !



saludos



ms, 13-05-2004

[formiga]

Pues lo encontre en dos carpetoncios...creo recordar que han sido:

C\WINNT

C\WINNT\System32

Puede ser?

Iba ademas a restaurar el registro, pero por lo que veo despues de cargarmelos, esta bien, no queda rastro (que raro...)

Y bueno, me acabo de instalar el zonealarm, a ver que pasa...

Espero que ese archivo enviado sea lo que se supone que es, no se si volvere a tenerlo pululando por aqui...

[msc hotline sat]

Esperemos qie no, pues aunque no nos gusten los cortafuegos por sofy, por su deactivacion como cualquier software residente, ante cualquier virus nuevo que te borre ñps residente de seguridad, como hacen muchos, quedarás contenta y engañada.



Oye, están analizando tu bicho y, contra lo que tu me dices de SDBOT: "ordenador encendido y TOMA, otra vez el mierda-bicho-sdbot. " resulta que es un GAOBOT!!



Entonces de ELISLUTA nada, corresponderá a un nuevo ELIRPCA, como todos los Gaobots.



En cualquier caso, a tí tanto te dá, pero que sepan que es de otra familia, de la del agujero RPCDCOM.



Será el ELIRPCA 4.7



saludos



ms, 13-04-2005

[formiga]

Ooooche que a mi tanto me da nothing de nothing, claro que me da... por algo sigo dando la tabarra por aqui. Aunque me haya instalado el cortafuegos por soft algo hara... ¿no?

Pues no se si sera gaobot o sdbot, pero mira lo que me dice el antivirus:



VirusScan NT: The file C:\WINNT\msgfix.exe on PC-CITO is infected with the virus W32/Sdbot.worm.gen. Unable to clean file. Cleaner unavailable or unable to access the file.



Parece que hay una ligera discrepancia de criterios

Saludos saludetes!

[msc hotline sat]

Bien, no vamos a discutir por esto. Con los DATS diarios

de ahora, igual que en otras máquinas con los 4360 de auer, detectamos el Gaobot indicado, pero posiblemente es según la version.



Te hemos subido la v 4.7 del ELIRPCA a esta web



descargala y ejecutala:



http://www.zonavirus.com/descargas/EliRPCA.exe



saludos



ms, 13-05-2004