otra vez w32.toxbot en el archivo netlib.exe

edimoney · Mensaje por **edimoney** » 08 Jul 2005, 09:23

hola, el otro dia implementaisteis el elitrip para que sacara una copia del archivo dhcpclient.exe ya que el cabron no se dejaba coger, pues bien hoy me pasa lo mismo con el mismo virus pero esta vez es el archivo netlib.exe; paso el elitrip y nada el norton no lo puede eliminar ni en modo seguro y establece un proceso que no se puede terminar,otra vez el archivo aparece en modo normal pero no en el modo seguro.¿por donde c**o se me cuela este virus?,estoy con todas las actualizaciones al dia.Otra cosa cuando aparece el virus genera otro archivo en la carpeta de usuario local,esta vez es el OKLEY.

Mensaje por **maura63** » 08 Jul 2005, 09:28

Parece ser este

http://esp.sophos.com/virusinfo/analyses/trojcratera.html

Saludos

maura63

Mensaje por **msc hotline sat** » 08 Jul 2005, 09:50

Se trata de otra variante del Toxbot o CODBOT:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_CODBOT.P

mientras quew el otro correspondía a la variante N:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_CODBOT.N

Envienos muestra de este fichero y lo estudiaremos para implementarlo igualmente al ELITRIP, si tiene problemas de eliminacion con los antivirus habituales.

Anexe a un mail dirigido a zonaviius@satinfo.es el fichero netlib.exe indicando en el texto "REF netlib.exe" y tras analizarlo, implementaremos su deteccion y eliminacion en una nueva version del ELITRIIP.

Piense que son mas de 50 las nuevas variamtes de virus que aparecen cada día...

saludos

ms, 8-07-2005

PD Recuerde que estos virus intrusionan a través de las vulneravilidades de windows RPCDCOM y LSASS, por lo que si no tiene instalados los parches de microsoft, no le sirve de nada el antivirus para evitar la infeccion. ACTUALICE CON WINDOWSUPDATE !!! ms.

edimoney · Mensaje por **edimoney** » 08 Jul 2005, 10:12

ya pero igual que el otro dia no puedo ni copiarlo,ni moverlo, ni eliminarlo.en modo seguro el antivirus no lo elimina, elitotal no puede acceder a el y elitrip no lo detecta; el otro dia no pude enviaroslo hasta que me mandaisteis una copia de elitrip que saco una muestra,seria posible hacer esto otra vez pero con el archivo Netlib.exe?

Mensaje por **msc hotline sat** » 08 Jul 2005, 12:15

Sí, claro.

Lástima que acabamos de compilar la v 1.50 del ELITRIIP y acabada de subir a esta web, y ahora ya estabamos en otra cosa, pero haremos un agujero para controlarte esta nueva variante P, y pedir muestra del fichero de forma que nos lo puedas enviar

Te recuerdo la direccion de envio zonavirus@satinfo.es

y pon en el texto, como referencia, " REF NETLIB "

Hoy mismo subiremos la 1.51 del ELITRIIP, que será para detectar este fichero y moverlo para que nos envies la muestra

saludos

ms, 8-07-2005

Mensaje por **msc hotline sat** » 08 Jul 2005, 12:51

Subida version 1.51 del ELITRIIP para mover fichero NETLIB.EXE para poder enviarnos la muestra

---v1.51---( 8 de Julio del 2005) (para el "NETLIB.EXE")

saludos

ms, 8-07-2005

edimoney · Mensaje por **edimoney** » 11 Jul 2005, 10:00

hola, os envie el archivo netlib.exe que pude eliminar gracias al elitrip 1.51, muchas gracias por esta ayuda, tambien os mando otros archivos que no me gustan un pelo,ademas uno de ellos algún antivirus online lo detecta como virus pero no lo elimina, ya me contareis si os ha servido,un saludo.

Mensaje por **msc hotline sat** » 11 Jul 2005, 10:42

Hemos recibido ZIP con cinco ficheros, de los cuales uno, el OKLEY.EXE, está a cero bytes, por lo que no hat nada dentro. Si el que tiene es de otro tamaño, repitanos el envio, con la misma referencia en el mail REF NETLIB, para saber a qué Tema del foro corresponde

Los otros 4 ficheros son malware, dos de ellos virus SDBOT (el FOXTBOT o CODBOT McAfee lo considera variante de SDBOT) y los otros dos son variantes de adware ELITEBAR.

Los dos primeros pasaran a ser controlados por el nuevo ELITRIIP que haremos hoy mismo y los otros dos al ELISTARA.EXE, al que incluiremos varias muestras nuevas de adwares y spywares recibidas hoy.

En cuanto estén terminados, los subiremos a esta web. para poderlos ensayar en concepto de priebas de evaluacion, comunicandolo como siempre.

Si mientras nos envia el OKLEY.EXE lo analizaremos y obraremos en consecuencia

saludos

ms, 11-07-2005

edimoney · Mensaje por **edimoney** » 11 Jul 2005, 10:59

nada el okley.exe lo ha debido eliminar el elitrip porque está vacio, respecto a los otros espero las nuevas versiones porque el netlib.exe ya está kaput pero el archivo tftp3812 cuando paso el antivirus online de computer associates me da infectado por w32robot y no lo puede eliminar.ya me baje las actualizaciones criticas de microsoft por donde entra el toxbot y espero no daros más el coñazo con este virus, un saludo.

Mensaje por **msc hotline sat** » 11 Jul 2005, 11:03

Bueno, realmente el TFTP3812 es un SDBOT pero no es de la familia del FOXTBOT y del CODBOT, aunque lo añadiremos igualmente al ELITRIIP.

Son variantes nuevas, las cuales McAfee las detecta todas, pero estos eliteBar Symantec ni los huele todavía, y el TFTP3812 ni Symantec ni Kaspersky ni NOD32, entre otros todavía los detectan:

[quote="VirusTotal"]
Este es el resultado de analizar el archivo "TFTP3812" que VirusTotal ha procesado el dia 11/07/2005 a las 11:16:58 (CET).

~~[b]~~Antivirus Version Actualización Resultado [/b]

AntiVir 6.31.0.9 11.07.2005 no ha encontrado virus

AVG 718 08.07.2005 no ha encontrado virus

Avira 6.31.0.9 11.07.2005 no ha encontrado virus

BitDefender 7.0 11.07.2005 no ha encontrado virus

ClamAV devel-20050501 08.07.2005 no ha encontrado virus

DrWeb 4.32b 11.07.2005 no ha encontrado virus

eTrust-Iris 7.1.194.0 10.07.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 11.07.2005 Win32.Rbot.BHY

Fortinet 2.36.0.0 11.07.2005 suspicious

Ikarus 2.32 11.07.2005 no ha encontrado virus

Kaspersky 4.0.2.24 11.07.2005 no ha encontrado virus

McAfee 4531 08.07.2005 W32/Sdbot.worm.gen

NOD32v2 1.1164 08.07.2005 no ha encontrado virus

Norman 5.70.10 07.07.2005 W32/Morphinepacked.gen

Panda 8.02.00 10.07.2005 W32/Gaobot.CZY.worm

Sybari 7.5.1314 11.07.2005 Win32.Rbot.BHY

Symantec 8.0 10.07.2005 no ha encontrado virus

TheHacker 5.8.2.069 11.07.2005 W32/SdBot.worm.gen

VBA32 3.10.4 10.07.2005 no ha encontrado virus

[/quote]

saludos

ms, 11-07-2005

Mensaje por **msc hotline sat** » 11 Jul 2005, 11:56

Subida version 1.52 del ELITRIIP que controla por cadenas las nuevas muestras enviadas.

---v1.52---(11 de Julio del 2005) (Muestras de SdBot.BW "NETLIB.EXE" y SdBot "TFTP3812")

Descarguela e informenos de los resultados, como respuesta de es este Tema, gracias

saludos

ms, 11-07-2005

Mensaje por **msc hotline sat** » 11 Jul 2005, 15:17

Para el control de las nuevas variantes de ELITEBAR del que nos ha enviado muestras, ya hemos subido la version 10.02 del ELISTARA-EXE al que, entre otras novedades se ke ha incluido su control y eliminacion.

---v10.02-(11 de Julio del 2005) (Muestras de BB CashBack, EliteBar, Puper, DownLoader.F y para el AltNet segun Panda)

Ya puede descargarse de esta web para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 11-07-2005