Mutación de Smitfraud? (SOLUCIONADO)

[Andy:Johnson]

Saludos a todos. Mi PC fué infectado por el smitfraud, y fué desinfectado por Panda Online. Sin embargo, tuve el conocido problema de archivos que no son eliminados por Panda. Como saben, la capacidad del software online que ofrece Panda es bastante limitada, si bien limpia una gran cantidad de virus, no es capaz de limpiar spyware ni adware. Mi actual antivirus es Trend Micro Cillin Internet Security, y no fué capaz de detectarlo, de hecho, ni siquiera saben de su existencia como pude ver en la página de trend micro (el virus existe en la enciclopedia, pero es otro diferente, no el que descarga PSGuard y todo el resto conocido...). Karsparsky Labs tiene el mismo problema, no existe el virus en su base de datos.

Efectué una limpieza con EliStarA, pero tampoco lo limpió por completo. ´



La descripción visual del virus, es un ícono redondo rojo, con un signo de exclamación rojo en la barra de tareas que despliega el siguiente mensaje:



"Your computer is infected"



Al abrirlo, redirige a la dirección de PsGuard, para descargar el virus completo (que es lo que sabemos hasta ahora).

El ícono no se puede ocultar en las propiedades personalizadas de la barra de tareas, reaparece una y otra vez aunque lo configuremos como "siempre oculto".



Después de buscarlo en los archivos de sistema, encontré que se alojaba en la carpeta System32 y se llama "Intel32"; NO SE PUEDE ELIMINAR MANUALMENTE. Al intentarlo, aparece el consabido "el archivo esta protegido contra escritura, o el disco está lleno". Buscando entre otros archivos, encontré la imagen del pantallazo azul que típicamente despliega smitfraud.

Intel32 tiene extensión .exe y pesa 9 kb

Al intentar enviarlo a análisis a vuestro auspiciador, (no recuerdo bien el nombre) con correo Yahoo, el Antivirus de la página (Norton)lo identifica como "application/octet-stream" de nombre "Trojan.Desktophijack.B" y le asigna otro tamaño: 7 Kb.



Eso es todo, me es imposible enviarles una copia, como pueden ver, es imposible. Me es urgente encontrar una solución al respecto; agradecería mucho que pudieran hacer algo.



Gracias!

[msc hotline sat]

REF MUTACION SMITFRAUD



Evidentemente necesitamos una muestra para poder mejorar nuestra utilidad de eliminacion al respecto.



Desactiva tu antivirus, empaqueta dicho fichero con un ZIP con contraseña, a la que le debes poner el nombre de VIRUS y envianoslo que no será interceptado.



Recuerda el envio a zpnavirus@satinfo.es



Y en el mail como texto pon un copiar y pegar de este post para poder contestarte como respuesta de este Tema



saludos



ms, 29-06-2005

[Andy:Johnson]

Ok, he hecho lo que me han dicho, les he enviado el famoso intel32.exe; espero sea de utilidad para su herramienta; por favor, respondan con un post si hay resultados positivos para poder actualizar su utilidad y solucionar el problema... OJO!!! que smitfraud infecta otros dll aparte del wininet me he dado cuenta!!!

[msc hotline sat]

Tan pronto lleguemos el lunes a la empresa, pediré me entreguen esta muestra y la entregaré personalmente a I+D para que la analicen y añadan al ELISTARA las rutinas complementarias para su control y eliminacion, y le mantendré informado como respuesta de este Tema.



De rodas formas, como que diariamente recibimos nuevas muestras de variantes al respecto y dicha utilidad va siendo actualizada casi a diario, sugiero que mientras, se baje la última version del ELISTARA y la lance, por si la version actual ya contemplara alguna mejora sobre el SMITFRAUD que bo tubiera la version que utilizó de dicha utilidad:





versión actual de elistara:

---v9.8---( 1 de Julio del 2005) (Muestras de DownLoader.AAC "WIN32.EXE",

Need2Find "ND2FNBAR.DLL", LowZones Dropper)





DESCARGA DE ELISTARA.EXE:

http://www.zonavirus.com/descargas/elistara.asp



Independientemente, el lunes le diremos algo mas.



saludos



ms, 2-07-2005

[Andy:Johnson]

Muchisimas gracias por su atencion, espero nueva informacion el lunes. De todos modos lancé el Elistara y no detectó nada anormal asi que tengo fé en que efectivamente sea una version nueva de el smitfraud. He instalado programas adicionales para prevenir futuras infecciones, como el Zone Alarm; y definitivamente he cambiado mi antivirus; según Norton, hace 7 días que la variante havía sido detectada. Trend Micro... nada aún.



Eso sería, estaré al tanto para colaborar en lo que pueda. Saludos!

[msc hotline sat]

De todas formas recuerde que los cortafuegos no impiden la infeccion de troyanos ni spywares, sino solo los intentos de intrusion por IP, no se confie demasiado...



Y sobre antivirus, piense que lo que Vd tiene no es un virus sino un troyano (no se autopropaga) por lo que solo los antivirus con antispyware o deteccion de troyanos de lo detectarán, pero igualmente pueden no eliminarlo, por no tenerlo contemplado al no tratarse de virus.



Lance un testeo ONLINE con Panda que igual le detecta algun que otro spyware, y nos lo dice, para obrar en consecuencia:



http://www.pandasoftware.es/activescan/es/activescan_principal.htm



saludos



ms, 2-07-2005

[Andy:Johnson]

Saludos a todos aqui van las nuevas al respecto:



Lancé el scanOnline de Panda y me detectó 3 spywares:



1) El Smitfraud (que cosas, no?) que aún seguía oculto entre mis cosas, en una carpeta oculta. Seguí la ruta y lo eliminé manualmente sin misericordia.



2) La toolbar de Ares, un programa p2p que te da la opción de instalarla o no. Yo no la he instalado porque, a pesar que nunca me dió problemas, el panda ya anteriormente la habia detectado como posible spyware. De seguro está por ahi dentro del paquete de instalación, asi que por el momento la dejaré ahi.



3) Una cosa que está en el registro. Esto ya se hace un poco complicado, así que esperaré las nuevas sobre el EliStara, o consejos al respecto. En este momento se esta ejecutando el active scan, asi que no puedo dar el nombre completo de la infección. De todos modos, postearé cuando lo tenga (parece que cerré sin querer el informe cuando lo iba a enviar, asi que todo otra vez con el scan.... :) )



Saludos!

[Andy:Johnson]

Adware:Adware/NavHelper

En C: Archivos de programa/ares



Que es el p2p que habia dicho.



Adware:Adware/Smitfraud



Este en windows registry



Por cierto, la barra que habia dicho es la MySearch tool bar. Espero sea de utilidad todo, si necesitan una copia de algo me avisan.

[msc hotline sat]

Paralelamente al analisis de las muestras enviadas, puede postear el log del HiJackThis, sin manipular ninguna clave hasta que se lo indiquemos, gracias:



_____________



Instrucciones para enviarnos log del HiJackThis:



Bajar :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



______________





saludos

ms, 4-07-2005

[Andy:Johnson]

Ok, aqui va el Log:



Logfile of HijackThis v1.99.1

Scan saved at 22:53:37, on 03-07-2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\ARCHIV~1\NETWOR~1\COMMON~1\naPrdMgr.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSI\PC Alert 4\PCAlert4.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\VIA\RAID\raid_tool.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [LiveMonitor] C:\Archivos de programa\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe

O4 - HKLM\..\Run: [PSGuard] C:\Archivos de programa\PSGuard\PSGuard.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PC Alert 4.lnk = C:\Archivos de programa\MSI\PC Alert 4\PCAlert4.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119665701873

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe





Espero sea de utilidad

[Andy:Johnson]

Oh rayos!, me he dedicado a leer algunos de vuestros tutoriales, y creo que sé mas o menos donde podría haber un error... no he desabilitado la opción restaurar sistema. De seguro esta cosa está aún respaldada por ahí y por eso me la detectan aún los antivirus on line. Esperare una respuesta el lunes obvio, que ahora me voy a acostar... es un poco tarde y mañana hay estudio... :(



Nos vemos!



... si seré tonto...

[msc hotline sat]

Pues lo haces como indican los tutoriales, arrancando en modo seguro y deshabilitando la restauracion de sistema, y nos cuentas los resultados



saludos



ms, 4-07-2005

[Andy:Johnson]

Hola! pues ahora sí, hice las cosas como es debido, y lancé el panda on line en modo seguro sin restaurar sistema. Pasó lo que esperaba: se fué el smitfraud que estaba guardado en el respaldo del sistema, pero aún queda el del registro, además de la dichosa barra de busqueda del Ares.



Supongo que lo que queda, es esperar la utilidad, no?



Saludos a todos, posteo en la tarde que ahora me voy a la U.



Suerte a todos, y gracias maese Msc, el bichejo se ha reducido al mínimo y ya no molesta, puedo mantenerme en espera de la nueva versión del EliStara, o lo que sea limpie el registro.



Me mantendré al tanto!

[maura63]

No tienes ninguna actualizacion del sistema operativo



Tu log



Logfile of HijackThis v1.99.1

Scan saved at 22:53:37, on 03-07-2005

Platform: [color=red]Windows XP [/color](WinNT 5.01.2600)

MSIE: [color=red]Internet Explorer v6.00 [/color](6.00.2600.0000)





INSTALACION DEL SP1 PARA PODER INSTALAR SP2:

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)



luego conecta con windows update y sigue las actualizaciones.



Saludos

maura63

[msc hotline sat]

Al enviar dos post seguidos, solo leí el último y no me dí cuenta que habias posteado el log del HJT:





Lanza el HJT, marca estas claves y eliminalas con FIX



O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll



O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll



O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe





Y como que no están instalado los parches de microsoft, has de instalarlos, para lo que primero instala el SP1 como te indica maura63, y asi podrás lanzar el windowsupdate (I.E. -> Herramientas -> windowsupdate)



y esta mañana ya hemos subido la version 9.9 del ELISTARA, que puedes decargar y probar.





saludos



ms, 4-07-2005

[Andy:Johnson]

Bueno, ya he hecho lo que habeis indicado:



1) Lancé el ElistarA, y no agarró nada nuevo, por lo visto Intel32.exe descansa ya en paz.



2) Le dí FIX a las aplicaciones indicadas con anterioridad, en el HjT.



3) Corrí el Panda on line. Los resultados, si bien no son desalentadores, no son tampoco lo que esperaba; adjunto el Log de Active Scan:





Adware:Adware/NavHelper No desinfectado C:\Archivos de programa\Ares

Adware:Adware/Smitfraud No desinfectado Registro de Windows

El que me preocupa es el del registro, ahi no tengo idea como proceder. Aceptaré cualquier ayuda que me puedan dar.



Respecto del SP1 y SP2, estoy en proceso de actualización, espero estar listo a la brevedad.



Saludos!

[msc hotline sat]

Bueno, tan solo hay dos detecciones, y la primera, segun Symantec, ya que Panda apenas ofrece informacion, dice lo siguiente:



http://securityresponse.symantec.com/avcenter/venc/data/securityrisk.navhelper.html



Por lo que parece que la solucion estriba en desinstalar, desde Panel de Control-> Agregar Quitar programas, esta aplicacion que resulta ser un adware.



Y lo del registro con el Smitfraud puede ser un resto de una marca, la cual si es inocua, solo está presente, pero si no ejecuta ningun fichero ni altera el comportamiento del ordenador, no tiene mayor importancia.



Como que no sabemos la clave que es, vata a saver qué contendrá, pero se puede buscar en el registro la palabra smitfraud a ver si existe-



Lo puede hacer con el REGEDIT o mejor con el BUSCAREG que no es tan peligroso de utilizar:





BUSCAREG.EXE

http://www.zonavirus.com/descargas/buscareg.asp







Si encuentra en el registro una clave que contenga dicha palabra SMITFRAUD , no hafa nada mas que informarnos de cual es yveremos de qué se trata.



saludos



ms, 5-07-2005

[Andy:Johnson]

Como bien ha dicho usted, maese Msc, al parecer era una marca, porque buscareg no encuentra ninguna cadena con Smitfraud en el registro. Creo que no hay motivo para alarmarse al respecto. En cuanto al adware, creo haber mencionado la existencia de un P2P en mi equipo, creo que tal vez (y aquí esto es pura especulación, no sé si puede ser) el software identifique como amenaza a la barra de búsqueda que esta dentro del paquete de instalación del programa, barra que por cierto no he instalado; o tal vez sea la barra de busqueda de dicho programa que de seguro guarda informacion sobre las busquedas realizadas para fines estadisticos o de acelerar futuras busquedas. De todos modos, no es algo que creo sea para alarmarse, reitero este punto.



Por lo tanto, creo que por fin, y gracias a vuestra cooperación, este tema podría darse por cerrado, a no ser que haya objeción por vuestra parte.



Me despido de mi casa, con bastante frío, por cierto, agradeciendo la atencion de cada uno de vosotros, y esperando que mis futuros post sean solo en "el descanso", jajaja, o sea, con un PC sin problemas...



Saludos y gracias otra vez!



PD: Por cierto, creo que no es necesario que me traten de "usted", tengo sólo 20 años, por Dios!!! Jajaja, además, se han transformado ya en mis amigos, al menos por mi parte... Saludos nuevamente, disfrutad el verano vosotros que podeis!!!

[msc hotline sat]

Bueno, pues termino este Tema con la recomendacion que busques en Panel de control->Agregar quitar programas una instalacion del Adware NavHelper y la desinstales



Y Como indicas, damos por finalizado este Tema y lo cerramos



saludos



ms, 5-07-2005