Problema con un troyano (solucionado)

glennie · Mensaje por **glennie** » 27 Dic 2005, 16:29

Me ha llegado un aviso de una supuesta infeccion por medio de un troyano que se distribuye por Messenger (se llama Nabload.U.)

Creo que es muy posible que lo tenga: he podido comprobar que tengo el archivo (por cierto, recien instalado por la fecha que veo en sus Propiedades)al cual se hace referencia en el [i]último párrafo [/i]del aviso (Windows\System32\service) y llevo unas horas con problemas con correos (me piden claves etc. repetidamente).

Mis preguntas son:

1. ¿Es fiable el aviso?

2. ¿Cómo limpio el ordenador? Verán que hay una sugerencia en el aviso. ¿Podría simplemente utilizar restaurar sistema para volver a un estado anterior a la infección?

Aquí el aviso (es un foro de adolescentes)

http://www.visualdisco.com/foro/Leer.aspx?ID=238997

Gracias

Mensaje por **maura63** » 27 Dic 2005, 16:33

Informacion al respecto

http://www.vsantivirus.com/trojandownloader-banload-nu.htm

Saludos

maura63

Mensaje por **msc hotline sat** » 27 Dic 2005, 16:51

Ver mas informacion en este foro en:

https://foros.zonavirus.com/viewtopic.php?t=9884

es el virus que llega a traves del FOTO.EXE a través del messenger

saludos

ms, 27-12-2005

glennie · Mensaje por **glennie** » 27 Dic 2005, 19:10

Pero el mío se llama Nabload.U.

No es lo mismo, creo. Mira enlace:

http://www.virusportal.com/com/virusinfo/encyclopedia/overview.aspx?idvirus=100874

Mensaje por **msc hotline sat** » 27 Dic 2005, 19:18

Si te llegó por el messenger y te ofrecía un fichero FOTO.EXE, lo mas probable es que sea el mismo, lo que pasa es que cada abntivirus puede llamarle diferente (Mira en la tabla de VIRUSTOTAL del link que te indiqué)

n cualquier caso, prueba el ELISTARA 10.81 QUE VAMOS A SUBIR A ESTA WEB EN BREVES MINUTOS.

saludos

ms, 27-12-2005

PD Si no fuera este, envianos muestra a virus@satinfo.es ms.

glennie · Mensaje por **glennie** » 27 Dic 2005, 22:08

[quote="msc hotline sat"]Si te llegó por el messenger y te ofrecía un fichero FOTO.EXE, lo mas probable es que sea el mismo, lo que pasa es que cada abntivirus puede llamarle diferente (Mira en la tabla de VIRUSTOTAL del link que te indiqué)

n cualquier caso, prueba el ELISTARA 10.81 QUE VAMOS A SUBIR A ESTA WEB EN BREVES MINUTOS.

saludos

ms, 27-12-2005

PD Si no fuera este, envianos muestra a virus@satinfo.es ms.[/quote]

Perdona (y por cierto muchas gracias) pero no encuentro la tabla a que te refieres.. VIRUSTOTAL)

Tampoco consigo accedera la página de Elistara. Lo siento.

Mensaje por **msc hotline sat** » 28 Dic 2005, 06:42

Ya está en esta web la v 10.81 del elistara.exe que lo controla y elimina

Sube al VIRUSTOTAL tu sospechoso y veras la tabla de los 25 antivirus con los que testean las muestras y los nombres con que los detectan.

Se accede desde el final de la pagina de antivirus ONLINE, primero seleccionas el fichero con EXAMINAR y luego le das a ANALUZAR FICHERO ONLINE y en un minuto tienes la tabla:

http://www.zonavirus.com/antivirus-on-line/

y la descarga del ELISTARA indicado la tienes en:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Si no te lo detectara por tratarse de otra cosa, dinoslo y te diremos como enviarnos muestra para analizar y controlar

saludos

ms, 28-12-2005

Mensaje por **msc hotline sat** » 28 Dic 2005, 09:38

Llegado al despacho, he subido el fichero a VIrusTotal y este es el resultado actualmente de la deteccion:

[quote]Este es el resultado de analizar el archivo "foto.exe" que VirusTotal ha procesado el dia 28/12/2005 a las 09:25:16 (CET).

~~[b]~~Antivirus Version Actualización Resultado [/b]

AntiVir 6.33.0.70 28.12.2005 TR/Dldr.Banload.NU.3

Avast 4.6.695.0 27.12.2005 no ha encontrado virus

AVG 718 27.12.2005 Downloader.Delf.8.BF

Avira 6.33.0.70 28.12.2005 TR/Dldr.Banload.NU.3

BitDefender 7.2 28.12.2005 Trojan.Downloader.Banload.NU

CAT-QuickHeal 8.00 27.12.2005 TrojanDownloader.Banload.nu

ClamAV devel-20051108 26.12.2005 no ha encontrado virus

DrWeb 4.33 27.12.2005 Trojan.DownLoader.6133

eTrust-Iris 7.1.194.0 27.12.2005 Win32/Bancos.40921!Downloader

eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus

Fortinet 2.54.0.0 27.12.2005 no ha encontrado virus

F-Prot 3.16c 28.12.2005 security risk named W32/Downloader.LTX

Ikarus 0.2.59.0 27.12.2005 no ha encontrado virus

Kaspersky 4.0.2.24 28.12.2005 Trojan-Downloader.Win32.Banload.nu

McAfee 4660 27.12.2005 Generic Downloader.c

NOD32v2 1.1341 27.12.2005 Win32/TrojanDownloader.Banload.NU

Norman 5.70.10 27.12.2005 no ha encontrado virus

Panda 8.02.00 27.12.2005 Trj/Nabload.U

Sophos 4.01.0 28.12.2005 Troj/Banload-AI

Symantec 8.0 28.12.2005 Download.Trojan

TheHacker 5.9.1.062 27.12.2005 Trojan/Downloader.Banload.nu

UNA 1.83 28.12.2005 TrojanDownloader.Win32.Banload

VBA32 3.10.5 27.12.2005 Trojan-Downloader.Win32.Banload.nu

VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: ©Hispasec Sistemas 2004,05:: e-mail info@virustotal.com[/quote]

Posiblemente estña Vd usando Panda, pues es el unico que le llama asi, con solo U, pero probablemente lo haya ya solucionado con el ELISTARA. esperamos sus noticias

saludos

ms, 28-12-2005

Nota: Vomo se ve. actualmente ya lo contolan casi todos los antivirus, menos Norman, Avast y algun otro menos conocido. ms.

glennie · Mensaje por **glennie** » 28 Dic 2005, 12:57

Muchas gracias de nuevo por todas las molestias que te has tomado.

Probé con Virustotal. Bueno quería hacerlo pero me equivoqúe y utilicé Kapersky. Pero lo que había pasado era que mi antivirus (PC Cillín) ya se había actualizado y sí detectaba la presencia de Banload. Así que cada vez que intenté examinar el archivo en Kapersky, saltó el mensaje de alarma de PC Cillin! Qué lío!

A continuación probé con Elistara y me lo quitó. Así que parece que otra vez tenemos un ordenador limpio.

Por cierto, ¿qué diferencia hay entre analizar en Kapersky o Virustotal. ¿Es otro tipo de análisis?

Un saludo

Mensaje por **msc hotline sat** » 28 Dic 2005, 15:35

Kaspersky es un antivirus, como McAfee, Symantec, Panda, etc mientras que Virus Total es un analisis con todos los de la tabla, ultima version de cada uno, y asi ves los que lo detectan y como lo detectan, incluido el Kaspersky como uno mas, como puedes ver en mi ultimo post

Y habiendo ya eliminado el virus, solucionado el problema, procedemos a ceerar el tema

saludos

ms, 28-12-2005