eliminar classloader.AA

lobo001 · Mensaje por **lobo001** » 06 Dic 2005, 15:32

el NOD32 me encontro el siguiente troyano,:

C:\Documents and Settings\jose y eli\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-78c19c69-6fbeda54.zip »ZIP »Dummy.class - Java/ClassLoader.AA (Troyano)

pero no me lo eliminó ni solucionó. Como puedo arreglar esto?? GRACIAS

ENDROGAO · Mensaje por **ENDROGAO** » 06 Dic 2005, 16:21

Prueba con un antivirus on-line que estara mas actualizado. Veo que es un archivo rar y a ti como a mi en su dia nod 32 no puede eliminar bichos comprimidos en dicho modo. Prueba de enviar este archivo a esta pagina y daran con una solucion.

saludos.

Mensaje por **msc hotline sat** » 07 Dic 2005, 11:09

fichero:

C:\Documents and Settings\jose y eli\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-78c19c69-6fbeda54.zip

Si quieres enviarnoslo para su examen e implementacion en nuestras utilidades dinoslo

Y aparte de lo indicado por ENDROGAO, como que la heuristica de NOD32 puede dar falsas alarmas, puedes salir de dudas examinarlo con Virus Total, que te lo miran 20 antivirus:

http://www.zonavirus.com/antivirus-on-line/

En el último apartado esrá el VirusTotal , pulsas en examinar, cuando lo encuentres le das doble click al fichero a seleccionar y luego pulsas en ANALIZAR ONLINE, y en 1 minuto tienes la respuesta

saludos

ms, 7-12-2005

lobo001 · Mensaje por **lobo001** » 08 Dic 2005, 12:11

Gracias msc hotline sat.

He pasado el virus total (en el archivo C:\Documents and Settings\jose y eli\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-78c19c69-6fbeda54.zip »ZIP »Dummy.class - Java/ClassLoader.AA (Troyano)

)y me ha encontrado lo siguiente:

AntiVir 6.33.0.61 08.12.2005 Java/BlackBox.AA.3

Avast 4.6.695.0 07.12.2005 no ha encontrado virus

AVG 718 05.12.2005 no ha encontrado virus

Avira 6.33.0.61 08.12.2005 Java/BlackBox.AA.3

BitDefender 7.2 08.12.2005 Java.Trojan.Exploit.Bytverify

CAT-QuickHeal 8.00 08.12.2005 no ha encontrado virus

ClamAV devel-20051108 07.12.2005 no ha encontrado virus

DrWeb 4.33 08.12.2005 Exploit.ByteVerify

eTrust-Iris 7.1.194.0 07.12.2005 Java/ByteVerify!exploit!Trojan

eTrust-Vet 11.9.1.0 08.12.2005 Java.ByteVerify!exploit

Fortinet 2.54.0.0 08.12.2005 no ha encontrado virus

F-Prot 3.16c 07.12.2005 no ha encontrado virus

Ikarus 0.2.59.0 08.12.2005 no ha encontrado virus

Kaspersky 4.0.2.24 08.12.2005 no ha encontrado virus

McAfee 4645 07.12.2005 no ha encontrado virus

NOD32v2 1.1315 07.12.2005 Java/ClassLoader.AA

Norman 5.70.10 08.12.2005 no ha encontrado virus

Panda 8.02.00 07.12.2005 no ha encontrado virus

Sophos 4.00.0 08.12.2005 no ha encontrado virus

Symantec 8.0 07.12.2005 no ha encontrado virus

TheHacker 5.9.1.051 08.12.2005 no ha encontrado virus

VBA32 3.10.5 08.12.2005 Java.BlackBox.AA.3

No se como eliminar lo encontrado ni como mandaros el archivo. Que hago?? Gracias

Mensaje por **msc hotline sat** » 08 Dic 2005, 13:26

Ya ves que unos cuantos lo detectan como BlackBox y otros como Byte verify, eso quiere decir que es un bicho que aprovecha la vulnerabilidad BYTEVERIFY de las versiones antiguas de la maquina virtual de java, que es de suponer tienes parcheada (lanza windowsupdate para saber cuales te daltan e instalar todos los criticos), y cuyo gusano en esta ocasion lleva el BlackBox:

Aunque esta version aun no está documentada por las casas antivirus, este link ofrece una descripcion generica de esta familia:

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=36725

Para enviarnos muestra, anexa este fichero que detectas infectado a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiques como referencia REF BLACKBOX para poder contestarte como resùesta de este Tema cuando lo hayamos analizado e implementado su control y eliminacion en la utilidad que te indicaremos.

saludos

ms, 8-12-2005