Reinicio el tema sobre el trojan.win32.stervis.f

[lamico]

Hola, de nuevo.

Aunque parecía solucionado porque durante una o dos veces no se creó el fichero poller.exe al iniciar el ordenador, de pronto ha vuelto a ocurrir y mi antivirus (también el ewido security en una ocasión) me detecta este fichero, aunque si antes me lo informaba como el trojan.win32.stervis.f, ahora lo hace como trojan.win32.agent.ay

He enviado el fichero poller.exe a vuestro servicio técnico para que lo analicen, así que ya os contaré con lo que haya.



gracias a todos por vuestra atención

[msc hotline sat]

Ante todo indicar al foro que este Tema tenía su inicio en:



https://foros.zonavirus.com/viewtopic.php?t=8270&highlight=stervis



el cual se cerró al darlo por solucionado, pero que por lo visto ha reaparecido...



Ahora tenemos el servidor de correo enviando informacion a lista de 100.000 asociados y estña en ello, pero en cuanto acabe, biscaremos tu e-mail y le daremos prioridad, y te informamos como respuesta de este Tema



saludos



ms, 2-09-2005



NOTA Lo del cambio de denominacion puede ser por utilizar diferente antivirus. ms.

[msc hotline sat]

Descargado el fichero muestra, se pasa a investigación para monitorizarlo y poder controlarlo, de cuyo examen ya informaremos.



De momento informarte que se trata de un downloader, no detectado aun por McAfee ni por otros, segun analisis de VIRUSTOTAL:


[quote]Este es el resultado de analizar el archivo "Poller.exe" que VirusTotal ha procesado el dia 02/09/2005 a las 11:14:29 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.31.1.0 01.09.2005 TR/Agent.ay.7

Avast 4.6.695.0 31.08.2005 no ha encontrado virus

AVG 718 31.08.2005 no ha encontrado virus

Avira 6.31.1.0 01.09.2005 TR/Agent.ay.7

BitDefender 7.0 02.09.2005 no ha encontrado virus

CAT-QuickHeal 8.00 02.09.2005 Trojan.Agent.ay

ClamAV devel-20050725 02.09.2005 no ha encontrado virus

DrWeb 4.32b 02.09.2005 no ha encontrado virus

eTrust-Iris 7.1.194.0 01.09.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 02.09.2005 Win32.BettInet.BL

Fortinet 2.41.0.0 02.09.2005 W32/Agent.AY-tr

F-Prot 3.16c 02.09.2005 no ha encontrado virus

Ikarus 0.2.59.0 01.09.2005 no ha encontrado virus

Kaspersky 4.0.2.24 02.09.2005 Trojan.Win32.Agent.ay

McAfee 4572 01.09.2005 no ha encontrado virus

NOD32v2 1.1207 31.08.2005 a variant of Win32/Agent.CP

Norman 5.70.10 31.08.2005 no ha encontrado virus

Panda 8.02.00 01.09.2005 no ha encontrado virus

Sophos 3.97.0 01.09.2005 no ha encontrado virus

Symantec 8.0 01.09.2005 no ha encontrado virus

TheHacker 5.8.2.099 02.09.2005 no ha encontrado virus

VBA32 3.10.4 01.09.2005 Trojan.Win32.Agent.ay







VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com
[/quote]

Seguiremos informando...



saludos



ms, 2-09-2005

[msc hotline sat]

Paralelamente a la investigación de comportamiento t realizacion de la utilidad pertinente para control y eliminacion, hemos enviado muestra del nuevo malware a Mcafee para su inclusion en prooximos DAT, y a SandBox poruqe tampoco lo detectaban, y ofreceremos el resultadi de su analisis en cuanto lo dispongamos.



Nosotros lo hacemos personalmente, pero la utilizacion de robots y sistemas automaticos nos ayuda en ello.



Me informan en vivo y en directo que nuestro examen detecta crear gusanos con nombre variable, y que si se detiene la tarea virica en proceso, automaticamente crea otra, razon por la que se le resistió a la eliminacion.



estamos en ello...



añadimos:



Su comportamiento es igual al Backdoor CQQ ya controlado con el ELISTARA desde Junio 2005.



McAfee mos informa ONLINE que va a llamarle BETTINET, como ya lo hace el e-trust de Computer Associates.



Lo implementamos en el ELISTARA, si bien para su eliminacion hará falta arrancar en modo seguro, pues sino, al eliminar el servicio crea otro con optro nombre y no habría manera.



Afortunadamente al crear uno nievo elimina el anterior, sino haría como el THE BEST, dejar cantidad de ficheros y claves antiguas que ocasionan gran cantidad de vasura en registro y carpetas



Tanto el nombre del fichero como el valor de esta rama es variable en cada reinicio, y el fichero estña comprimido en UPX, todo lo cual dificulta su deteccion, pero ya nos conocemos estas tecnicas.



De SandBox nos responden que no detectan codigo virico y que les enviemos el fichero para hacer un analisis personal, lo cual hacemos, aunque ya lo solucionemos por nuestros medios.



Pasamos a incluirlo en el ELISTARA 10.21 que compilaremos en breve, y deberá descargarlo, arramcar en modo seguro y lanzar dicha utilidad para probar sus resultados, de lo cual esperamos nos informe como respuesta de este Tema, gracias



saludos



ms, 2-09-2005

[msc hotline sat]

Ya se ha subido a esta web la nueva version 10.21 del ELISTARA.EXE que controla esta familia del "Downloader Bettinet"



Recuerde que despues de descargarlo, debe apagar el ordenador, arrancar en modo seguro y deshabilitar la restauracion de sistema si usa XP, y entonces lanzar el ELISTARA



Tras ello, cuentenos los resultados, gracias



saludos



ms, 2-09-2005