Tengo el Virus W32/Zawex.3196.Ayuda¡(solucionado)

[Soloyo]

Hoy,despues de acabar de actualizar el antivirus AVG,lo paso por si acaso se me hubiese colado algo, y pluff, 2 mensajes de alerta. Uno del archito NET7.CAB, que dice que no se puede borrar ni eliminar, y otro del arp.exe, q contenia cadenas del virus W32/Zawex.3196. He reiniciado windows 98, versión 6.0, en prueba de fallos, le he pasado el antivirus y lo he borrado.



Mis preguntas:

¿Qué hace concretamente este gusano?, he buscado en internet, pero apenas he encontrado nada, quizá pq lo llamen de otra forma los otros antivirus.



¿Como borro NET7.CAB?.



¿He hecho bien borrando arp.exe?, pq después he leido por ahi,y no me ha quedado claro, que era un programa válido de windows 98 ¿es así?



Y me preocupa, saber cómo me he infectado, pq soy muy meticuloso en este tema. No tengo el Kazaa, ni chateo por IRC, y si me bajo algun archivo le paso el antivirus.



Gracias por la ayuda adelantada.

[msc hotline sat]

No creo que estuviera infectado por el Zawex, pues es un virus atipico que no está "in the wild", por lo que mas bien se ha tratado de un falso positivo de AVG en dicha actualizacion, que ha detectado la cadena de deteccion en dicho fichero, que está en los didtemas operativos Windows, y se trata de una utilidad para resolver direcciones IP:



-_________________________________________



Windows 98 Utilities & Tools

General ARP ASD BATCH CARDFILE

CHDOSCP CHECKLINKS CLEANUP CLIPTRAY CVT

DRWATSON FAT32WIN FILEINFO HFNETCHK HWINFO

INFINST IPCONFIG KILL LFNBACK MINITEL

MSCONFIG PCHEALTH PMTSHOOT PWLEDIT QUICKTRAY

REGENV32 REGSERV REGSVR32 RPCPP RSRCMTR

SCANREG SNMP STIMON SUCATREG SULFNBK

SYSINFO TEXTVIEW TIMETHIS TLIST TRACERT

TWEAKUI TZEDIT USBVIEW VCMUI WAITFOR

WALLET WHERE WINALIGN WINPOPUP WINREP

WINSET



General



The Windows 98 disk includes many utilities you may not know about.

You install some of them by following the instructions in the Readme.doc found in the Tools\ResKit folder.





Tools Are Unavailable on Windows 98 (Retail Version) Boot Disk

If you start your computer with the Boot disk included with Windows 98 (retail version), you may receive a "Bad command or file name" error message when you try to use any of the following commands:

Format.com, Attrib.exe, Chkdsk.exe, Debug.exe, Edit.com, Ext.exe, Help.bat, Mscdex.exe, Scandisk.exe, Sys.com

http://support.microsoft.com/default.aspx?scid=KB;EN-US;q191252 (Aug. 4, 2000)





Tools Included with the Microsoft Windows 98 Resource Kit

The Microsoft Windows 98 Resource Kit is a technical guide to deploying, configuring, and supporting Windows 98 in your organization.

http://support.microsoft.com/default.aspx?scid=KB;EN-US;q247024 (W98 Oct. 21, 2000)





Utilities for Windows 9x

Check this site if you are looking for some particular tools.

http://www.sysinternals.com





Sun of Spy Freeware

Windows 9x Utilities 225 programs as of 6/19/00.

http://www.sover.net/~whoi/WinUtils1.html





ARP.EXE - Address Resolution Protocol



Installed in the \Windows folder.



The protocol that translates Internet Protocol, or a IP, addresses (for example, 128.10.3.42) into physical network addresses. One of the many members or the TCP/IP protocol suite, ARP is a key player in the process that allows a packet of data addresses to a particular Internet host to find its destin



__________________________________________



Vea mas informacion al respecto en:


[quote]
http://www.computerhope.com/arphlp.htm



con la siguiente descripcion de este proceso:



http://www.computerhope.com/arphlp.htm



MICROSOFT DOS

Information about the arp command.



QUICK LINKS

About arp

Availability

Syntax

Examples



ABOUT ARP



Displays, adds, and removes arp information from network devices.





AVAILABILITY

The arp.exe command is an external command accessed through the C:\Windows or C:\Winnt\System32 directory and is available in the below Microsoft operating systems.



Windows 95

Windows 98

Windows ME

Windows NT

Windows 2000

Windows XP



INDEX







Category:

MS-DOS



Companies:

Microsoft



Related Pages:

Operating Systems









UPDATES







No Specific drivers for this topic.

See Drivers Page for complete listing of drivers.











RESOLVED







Were you able to locate the answer to your questions?

Yes

No











COMMAND INFORMATION







SYNTAX



ARP -s inet_addr eth_adr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr]



-a Displays current ARP entries by interrogating the current protocol data. If inet_addr is specified, the IP and Physical addresses for only the specified computer are displayed. If more than one network interface uses ARP, entries for each ARP table are displayed.

-g Same as -a

inet_addr Specifies an internet address.

-N if addr Displays the ARP entries for the network interface specified by if_addr.

-d Deletes the host specified by inet_addr.

-s Adds the host and associates the Internet address inet_addr with the Physical address eth_addr. The Physical address is given as 6 hexadecimal bytes seperated by hyphens. The entry is permanent.

eth_addr Specifies a physical address

if_addr If present, this specifies the Internet address of the interface whose address translation table should be modified. If not present, the first applicable interface will be used.





EXAMPLES



arp -a



Interface 220.0.0.80 Internet Address Physical Address Type

220.0.0.160 00-50-04-62-F7-23 static





The Physical Address as shown above in the format aa-bb-cc-dd-ee-ff is the unique manufacture identification number. This number should always be a unique address.



An example of how to change the above IP address 220.0.0.160 to 220.0.0.161 in this case would be:



arp -s 220.0.0.161 00-50-04-62-F7-23



It is important to not that if a IP address has already been assigned to the specific network adapter it is not possible to change that assigned IP address to a new address. In addition networks italicizing DHCP, BOOTP or RARP will automatically assign the card an IP address therefore this command would not be utilized.











MICROSOFT DOS

Information about the arp command.



QUICK LINKS

About arp

Availability

Syntax

Examples



ABOUT ARP



Displays, adds, and removes arp information from network devices.





AVAILABILITY

The arp.exe command is an external command accessed through the C:\Windows or C:\Winnt\System32 directory and is available in the below Microsoft operating systems.



Windows 95

Windows 98

Windows ME

Windows NT

Windows 2000

Windows XP



INDEX







Category:

MS-DOS



Companies:

Microsoft



Related Pages:

Operating Systems









UPDATES







No Specific drivers for this topic.

See Drivers Page for complete listing of drivers.











RESOLVED







Were you able to locate the answer to your questions?

Yes

No











COMMAND INFORMATION







SYNTAX



ARP -s inet_addr eth_adr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr]



-a Displays current ARP entries by interrogating the current protocol data. If inet_addr is specified, the IP and Physical addresses for only the specified computer are displayed. If more than one network interface uses ARP, entries for each ARP table are displayed.

-g Same as -a

inet_addr Specifies an internet address.

-N if addr Displays the ARP entries for the network interface specified by if_addr.

-d Deletes the host specified by inet_addr.

-s Adds the host and associates the Internet address inet_addr with the Physical address eth_addr. The Physical address is given as 6 hexadecimal bytes seperated by hyphens. The entry is permanent.

eth_addr Specifies a physical address

if_addr If present, this specifies the Internet address of the interface whose address translation table should be modified. If not present, the first applicable interface will be used.





EXAMPLES



arp -a



Interface 220.0.0.80 Internet Address Physical Address Type

220.0.0.160 00-50-04-62-F7-23 static





The Physical Address as shown above in the format aa-bb-cc-dd-ee-ff is the unique manufacture identification number. This number should always be a unique address.



An example of how to change the above IP address 220.0.0.160 to 220.0.0.161 in this case would be:



arp -s 220.0.0.161 00-50-04-62-F7-23



It is important to not that if a IP address has already been assigned to the specific network adapter it is not possible to change that assigned IP address to a new address. In addition networks italicizing DHCP, BOOTP or RARP will automatically assign the card an IP address therefore this command would not be utilized.
[/quote]




Compruebe que actualizando ded nuevo el AVG, las nuevas cadenas de deteccion ya no le detectan dicho virus en el fichero CAB, y restaure el fichero ARP.EXE borrado, a ser posible desde otra máquina con el mismo sistema operativo.



Si le persiste la deteccion en el CAB, tras varias actualizaciones de AVG, envienos dicho fichero a zonavirus@satinfo.es y saldremos de dudas, pero lo mas probable es una falsa alarma de AVG.



saludos



ms, 7-06.2004

[msc hotline sat]

El usuario ha abierto un nuevo Tema, que se ha cerrado el el que indicaba:


[quote]
Soloyo







Registrado: 18 May 2004

Mensajes: 7



Publicado: Sab Jun 05, 2004 11:35 am Asunto: Ampliando informacion



--------------------------------------------------------------------------------



He seguido investigando, y efectivamente el archio arp.exe es propio de windows98 SE, y el NET7.CAB, no podía borrar el archivo infectado (arp.exe), porque está dentro de un comprimido. Entonces, si arp.exe, es válido ¿por qué me lo detecta?, ¿es realmente un virus?


[/quote]

a lo que procedemos a contestar:



Las nuevas versiones de antivirus detectan a veces virus por contener el fichero sospechoso la cadena usada para deteccion , por casualidad y coincidencia, sin que esté realmente infectado.



Es un inocente con cara de culpable.



Las nuevas versiones del antivirus ya se corrigen subsanando el error.



Esto McAfee lo resuelve ofreciendo versiones Beta para que sean probadas por los betatesters de 100 paises diferentes sobre los ficheros existentes en sus respectivos paises, y las incidencias corregirlas antes de sacar a la luz la version oficial.



Otros antivirus lo hacen sobre la marcha, corrigiendo los errores cuando les son reportados.



Podría muy bien ser en este caso un falso positivo de esta version de AVG.



saludos



ms, 7-06-2004

[Soloyo]

Gracias por responder, pero de momento, creo que me toca esperar a que hagan una nueva actualización de AVG, pq tengo instalada la última, del 4-6-04.

Supongo, y realmente deseo, q sea una falsa alarma.

Por otra parte, gracias por la información del proceso ARP, pero realmente me he sentido abrumado por tanta información, que no he sabido asimilar, sin saber realmente lo que hace dicho archivo y si es vital para el sistema, pq de momento no he notado nada raro, ni al navegar, ni con la estabilidad del sistema en general.



Gracias, y en cuanto saquen una nueva actualización del antivirus, la probaré, a ver si no me lo detecta, y lo dejo todo como estaba.

[msc hotline sat]

La aplicacion ARP.EXE es imprecindible si se está en entorno de red, pues es la manera de identificar la Ip de tu máquima frente la red de internet, pero si la usas en monopuesto, igual no es imprescindible, pero sí conveniente.



Recomiendo la copies de otra máquina de un amigo que use igual sistema operativo.



Con un ARP.EXE /? ´cualquiera que no la haya borrado verá las opciones y aplicacion de dicho programa.



Es posible que con el CAB en el que te detecta el mismo virus, que será el que contiene dicho fichero, puedas extraerlo con el EXPAND.EXE del mismo sistema operativo.



(EXPAND /? para saber como manejarlo)



saludos



ms, 7-06-2004

[msc hotline sat]

Recibido fichero muestra ARP.EXE corresponde cin el normal de Windows98 a excepcion de un byte mas añadido al final (?)m según analisis de nuestra utilidad de comparacion:


[quote]


Utilidad para comparar dos ficheros.



Versi¢n 1.00 (c) Satinfo-Q.E.D. 1995



Ficheros iguales hasta la posici¢n 28672


[/quote]

Y evidentemente este último byte no tiene ninguna importancia.



Así que se confirma que se trata de un falso positivo de esta version de AVG. Cuando se baje la proxima, posiblemente ya habrán corregido este fallo.



Y considerando ya terminado el caso, se cierra este Tema