Urgente, Necesito matar este virus W32.Protoride.Worm

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
neopel
Mensajes: 3
Registrado: 11 Nov 2005, 12:44

Urgente, Necesito matar este virus W32.Protoride.Worm

Mensaje por neopel » 11 Nov 2005, 13:09

:( :( Hola, este es el primer post que publico.

Tengo un inconveniente con este virus W32.Protoride.Worm, voy a comentar un poco que es lo que pasa para ver si alguien tiene un par de sugerencias.

Este virus lo que hace es copiarse en el inicio de cada maquina, se copia como msupdate.exe, y en el registro modifica en esta clave HKEY_CLASSES_ROOT\exefile\shell\open\command el predeterminado y anteponiendo la ruta del virus a esto "%1" %*, con lo cual cada exe que uno ejecuta lo abre con el virus.

La solucion para sacarlo esta por todo internet y pude eliminarlo tranquilamente, el inconveniente es que se copia por los recursos compartidos de la maquina y mi problema particular es que tengo una VPN, la cual esta conformada por 11 puntos diferentes y trabajamos con aproximadamente 70 maquinas las cuales tenemos todas conectadas entre si y el virus se ramifico a todas las maquinas, a tal punto que alcanso a eliminarlo de algunas maquinas y en cuestion de minutos ya esta infectada otra ves.

Antivirus, lamentablemente por el momento tiene que ser uno free, tenemos el AVG, el cual no lo detecta.

Por otro lado no puedo tomarme el tiempo para desconectar todas las maquinas y una por una desinfectarlas y despues volver a conectarlas.

yo entre otras cosas habia pensado en bloquear la carpeta de inicio no permitiendo asi que nada se copie en ella, pero no encontre programa para hacerlo todavia.

Si alguien tiene una solucion se la agradeceria. si alguien tiene dudas por favor consulte.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 11 Nov 2005, 13:21

Ta es muy antigua nuestra solucion con el ELIPROTA.EXE, y si se ha eliminado el gusano, la solucion es el ELIRESTR.VBS:





ELIPROTA

http://www.zonavirus.com/datos/descargas/104/ELIPROTAEXE.asp





ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp



Con la primera si todavía tiene el fcihero y con la segunda si ya lo ha borrado y no puede ejecutar EXES, solucionarña el problema.



Ahora bien, estan utilidadesson para evaluacion, y no para uso en empresa con 70 mñaquinas, en la que debe licenciar el uso de un antivirus y utilidades correspondientes.



No se concibe el disponer de una red de 70 ordenadores con 11 VPN y no tener un antivirus residente actualizado permanentemente. Es como ir por una autopista a 120 km/h y sin frenos por no tener presupuesto...



La seguridad en informatica es muy importante, y mas conectado a Internet !!!



saludos



ms, 11-11-2005



Añado link de informacion en castellano sobre este virus, por lo peligroso que resulta al tener caracteristicas de backdoor y permitir acceso remoto a usuarios de determinados canales e chat:



http://www.vsantivirus.com/protoride-w.htm



ms.
Arriba
neopel
Mensajes: 3
Registrado: 11 Nov 2005, 12:44

Mensaje por neopel » 11 Nov 2005, 15:09

Gracias por la rapida respuesta, voy a tratar de operar con esta herramienta.

Por otro lado, entiendo lo que me dices respecto al soft free, pero yo no puedo tomar desiciones en esto solo tengo que controlar y cuidar de esto. Mas alla de eso te comento que no estamos totalmente desprotegidos, ya que esos 70 puestos ninguno tiene la posibilidad de navegar por internet ya que en cada uno de esos 11 puntos tenemos una pc con red hat trabajando como firewall y router. lo cual la entrada de virus es casi imposible, como ingreso este? por que en una pc que estaban instalando, bajamos el soft de una camara digital, de la pagina de kodak y ese programa estaba infectado, de ahi fue casi imposible detenerlo a tiempo.

la tendencia en el lugar donde estoy trabajando es volcarse a GPL.

Gracias.-
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 11 Nov 2005, 15:22

No te confundas. No te entró por ningun fichero ya que no infecta ficheros. Es un fusano que se propaga por recursos compartidos a traves de ordenadores con su mismo rango, e instala el MSUPDATE.EXE gusano, programando su auto ejecucion en cada arramqye, además de la ejecucion automatica por ejecutar EXES.



Solo si hubieras ingresado con otros dicho fichero y lo hubieras ejecutado, te hubieras infectado, aparte de la intrusion normal indicada.



Pero no por un soft de una mñaquina digiyal, y menos de kodak. No es un virus infector sino un gusano, crea un fichero gusano y lo propaga, pero no infecta ficheros!



Sobre antivirus free, recuerda que el AVG solo es freeware para uso domestuico, no para uso de empresas, no vayas a tener una inspeccion y te la cargues...



Y es cuestion de hacer entender a los de arriba, el coste que ha tenido esta infeccion y el que pudiera tener ante la perdida de seguridad y posibilidad de acceso de millones de personas usuarias de chat y conocedoras de este backdoor que da acceso remoto a vuestras ñáquinas ...



Por lo menos si teneis 11 conectadas a Internet, estas 11 protegedlas como se debe, y aunque no seas el responsable, al menos informales adecuadamente.



Estamos muy lejos, solo he estado en tu pais de vuelta de la Antartida, de turista, así que no me mueve ningun interes comercial, solo el de aconsejarte bien para vuestra seguridad.



Obra en consecuencia...



saludos



ms, 11-11-2005
Arriba
neopel
Mensajes: 3
Registrado: 11 Nov 2005, 12:44

Mensaje por neopel » 11 Nov 2005, 20:52

Hola otra consulta, entre otras cosas pude ver que el gusano en algunas maquinas no se copia, debido a que esos equipos dentro de las politicas de seguridad, no permiten el acceso por red a las carpetas de sistema.

Alguien sabe cual es esa o esas politicas de seguridad que hay que cambiar para poder bloquear esto, seria una manera de no permitirle la entrada al gusano.

Gracias
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 11 Nov 2005, 21:04

Si claro, no tener comparticion de recursos, pero eso no es operativo en una red si quieres compartir ficheros.



No busques cinco pies al gato :lol: :lol: :lol:



Ya conocemos este bicho desde hace casi dos años y lo hemos sufrido en muchos usuarios, a pesar de estar controlado, pero es que hay quien desactiva el antivirus opara ir mas rapido, hay quien no lo tiene residente por la accion de otro virus, etc, etc, y sabemos lo que se trae entre manos...



Protege bien los ordenadores con acceso a Internet, y los demás con lo que tengas a tu alcance.



No te lo aconsejo para que lo apliques, por cortar el servicio servidor, pero para jugar un poco,. lanza nuestra utiliad ELITRIIP y acepta cuando te diga si quieres bloquear el intentom de intrusion, lo que pasa es que en cada reinicio se volverá abrir, pero prueba si con eso evitas que una máquina se infecte...



Y leete nuestro articulo sobre comparticiones administrativas, que abre windows en cada reinicio:



http://www.satinfo.es/web/2003/comparticions.html



saludos



ms, 11-11-2005
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”