wuamk032.exe (SOLUCIONADO)

kikke · Mensaje por **kikke** » 13 Sep 2005, 20:54

Hola, tras formatear el disco duro por problemas de detección de la partición de arranque del disco duro ( indicaba que no encontraba el disco duro) e instalar Windows xp home y instalar el Norton Internet Security 2005 se conectó a internet para instalar parches de windows que pudieran faltar.

Al conectar a internet vi en conexiones de red que el archivo wuamk032.exe se conectaba a internet por el puerto 445 y estaba a la escucha, habían unas 50 conexiones a ip remotas.

El norton ni se enteró de que eso era un virus, hice un análisis en virus total, dandome resultado en varios antivirus como virus.

Este es el resultado de analizar el archivo "wuamk032.exe" que VirusTotal ha procesado el dia 13/09/2005 a las 21:06:25 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.32.0.3 13.09.2005 Worm/RBot.93184.15

Avast 4.6.695.0 12.09.2005 no ha encontrado virus

AVG 718 13.09.2005 no ha encontrado virus

Avira 6.32.0.3 13.09.2005 Worm/RBot.93184.15

BitDefender 7.0 02.09.2005 Backdoor.RBot.BBFAE7C2

CAT-QuickHeal 8.00 12.09.2005 (Suspicious) - DNAScan

ClamAV devel-20050725 13.09.2005 no ha encontrado virus

DrWeb 4.32b 13.09.2005 Win32.HLLW.MyBot

eTrust-Iris 7.1.194.0 13.09.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 13.09.2005 Win32.Rbot.DEF

Fortinet 2.41.0.0 07.09.2005 suspicious

F-Prot 3.16c 13.09.2005 no ha encontrado virus

Ikarus 0.2.59.0 13.09.2005 Backdoor.Win32.Rbot.Gen

Kaspersky 4.0.2.24 13.09.2005 Backdoor.Win32.Rbot.gen

McAfee 4580 13.09.2005 W32/Sdbot.worm.gen.ac

NOD32v2 1.1215 13.09.2005 a variant of Win32/Rbot

Norman 5.70.10 13.09.2005 no ha encontrado virus

Panda 8.02.00 13.09.2005 W32/Sdbot.EFM.worm

Sophos 3.97.0 13.09.2005 no ha encontrado virus

Symantec 8.0 13.09.2005 no ha encontrado virus

TheHacker 5.8.2.105 12.09.2005 no ha encontrado virus

VBA32 3.10.4 13.09.2005 Backdoor.Win32.Rbot.gen

VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com

Eliminé las entradas con el hijackthis y borré el archivo que estaba en esta ruta:

C:\windows\system32\wuamk032.exe

Esta vez he aislado el archivo y lo tengo para poder enviarlo a uds por si lo necesitan para sus pruebas. Solo teneis que pedirmelo y os lo envio.

Eliminé las claves con el Hijackthis y después borré el archivo ( haciendo antes una copia).

Qué claves tiene en el registro para poder eliminarlas???

Gracias, saludos

Mensaje por **msc hotline sat** » 13 Sep 2005, 22:44

[quote]Qué claves tiene en el registro para poder eliminarlas???[/quote]

Eso es lo que quisieramos saber en cada nuevo virus... :lol: :lol: :lol:

Sí, envianos el fichero wuamk032.exe a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques referencia REF wuamk032 y lo analizaremos y lo podremos crear o añadir al ELITRIIP tratandose de un SDBOT, las rutinas para eliminar claves y ficheros correspondientes.

Y menos mal que guardaste el fichero, pues sino, no basta con borrar las claves del HJT y es mas, borrando los ficheros y las claves del HJT impides que los antivirus detecten el malware y puedan eliminar el resto de claves, y que nosotros podamos saber el virus que era para hacer lo propio.

Con nuestras utilidades las eliminamos tanto si existe el fichero como si no, porque ya sabemos lo que hay que hacer, pero solo contemplamos unos miles de virus en cada utilidad...los que hemos recibido muestra, claro.

Y mañana mismo, tras recibirlo y analizarlo, te indicaremos cuando subamos dicha utilidad a esta web para que puedas probarla

saludos

ms, 13-09-2005

kikke · Mensaje por **kikke** » 16 Sep 2005, 08:58

He enviado el archivo. Tuve que enviarlo con una cuenta gmail que tengo,outlook no me funcionaba por algún fallo del server smtp de telefónica. Esta mañana ya funcionaba.

Por cierto Gmail no usa antivirus? entonces puede ser peligroso usarlo sin antivirus que filtre su correo.

Saludos.

Mensaje por **msc hotline sat** » 16 Sep 2005, 09:39

Generalmente HOTMAIL, GMAIL, y similares usan antivirus, pero a veces no los actualizan o mo renuevan la licencia buscando uno mas barato...como si eso fuera mas importante que la seguridad !!!

McAfee lo detecta como SDBOT.worm.gen.ac

[quote]
McAfee VirusScan for Win32 v4.40.0

Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.

(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.

Virus data file v4582 created Sep 15 2005

Scanning for 148721 viruses, trojans and variants.

09/16/2005 09:40:50

Options:

A: /REPORT A:INFORME.TXT

Scanning A: []

Scanning A:\*.*

A:\wuamk032.exe ... Found the W32/Sdbot.worm.gen.ac virus !!!
[/quote]

Pasamos a analizarlo y te informo al respecto

saludos

ms, 16-09-2005

Mensaje por **msc hotline sat** » 16 Sep 2005, 12:51

Con el ELITRIIP 1.58 pasamos a controlar esta nieva variante de SDBOT y restaurar claves modificadas y eliminar gusano:

---v1.58---(16 de Septiembre del 2005) (Muestra de SdBot.AC "WUAMK032.EXE" y para los Mytobs.-KG y RBot.SB,VW,XE,ABE,ASA,AWD,BKR y DVI de VSAntiVirus)

Se sube a esta web para poruebas de evaluacion es el foro de zonavirus. Pruebala y nos comentas el resultado como resùesta de este tema, gracias

saludos

ms, 16-09-2005

kikke · Mensaje por **kikke** » 16 Sep 2005, 23:15

He utilizado la utilidad en modo seguro y no me ha indicado presencia del gusano, eliminé manualmente el archivo WUAMK032.EXE antes de pasar la utilidad ELITRIIP 1.58.

Por cierto tengo un proceso llamado snmp.exe que antes no tenía, he buscado información sobre el proceso y según he leido es un proceso normal de la red de windows. Os lo comento por si acaso tuviera algo que ver en el asunto este.

Mensaje por **msc hotline sat** » 17 Sep 2005, 09:45

Si eliminaste antes el fichero, claro que ya no lo encontró, pero lo importante es que igualmente eliminó las claves al respecto, y no, el fichero en cuestion no tiene relacion, porque si la tuviera tambien habría detenido sl proceso, y eliminado claves y fichero

Y en consecuencia doy por solucionado el Tema y procedo a cerrarlo.

saludos

ms, 17-09-2005

nota: y el fichero snmp.exe lo tengo yo tambien en dos carpetas del XP. Es normal. ms.