ayuda con Tearec.A (SOLUCIONADO)

[neo64_00]

pues eso, se alenta el correo (outlook express) y cada que le doy desinfectar con el panda me aparece este virus pero no lo puedo quitar, podrian decirme como hacerle? gracias

[msc hotline sat]

Es la primera incidencia que tenemos con este gusano, que al parecer es destructivo y que probablemente te ha llegado por P2P o por mail-.



La informacion que he encontrado es la siguiente:


[quote="HISPAVISTA"]

Tearec.A



Peligrosidad Propagación: Daño

DE UN VISTAZO DETALLES TÉCNICOS SOLUCIÓN ESTADÍSTICAS

Nombre común: Tearec.A

Nombre técnico: W32/Tearec.A.worm

Peligrosidad:

Alias: Tearec.A

Tipo: Gusano,

Efectos: Tearec.A realiza las siguientes acciones:



Deshabilita varios programas, que pertenecen a programas antivirus, programas de intercambio de archivos punto a punto (P2P) y aplicaciones de Internet, ya que borra los siguientes archivos:

- Todos los archivos de las siguientes subcarpetas:

Archivos de Programa\Symantec\LiveUpdate

Archivos de Programa\Symantec\CommonFiles\Symantec Shared

Archivos de Programa\McAfee.com\Agent

Archivos de Programa\McAfee.com\shared

- Todos los archivos con extensión EXE de las siguientes subcarpetas:

Archivos de Programa\Norton Antivirus

Archivos de Programa\Alwil Sfromtware\Avast4

Archivos de Programa\McAfee.com\VSO

Archivos de Programa\Trend Micro\PC-cillin 2002

Archivos de Programa\Trend Micro\PC-cillin 2003

Archivos de Programa\Trend Micro\Internet Security

Archivos de Programa\NavNT

Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal

Archivos de Programa\Trend Micro\fromficeScan Client

- Todos los archivos con extensión DLL de las siguientes subcarpetas:

Archivos de Programa\DAP

Archivos de Programa\BearShare

Archivos de Programa\Morpheus

Archivos de Programa\Grisfromt\AVG7

Archivos de Programa\TREND MICRO\fromficeScan

- Todos los archivos con extensión PPL de la subcarpeta Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal

- LIMEWIRE.JAR de la subcarpeta Archivos de Programa\LimeWire\LimeWire 4.2.6

Si el ordenador afectado pertenece a un red de ordenadores, elimina todos los archivos de las siguientes ubicaciones:

C$\Program Files\Norton AntiVirus

C$\Archivos de Programa\Common Files\symantec shared

C$\Archivos de Programa\Symantec\LiveUpdate

C$\Archivos de Programa\McAfee.com\VSO

C$\Archivos de Programa\McAfee.com\Agent

C$\Archivos de Programa\McAfee.com\shared

C$\Archivos de Programa\Trend Micro\PC-cillin 2002

C$\Archivos de Programa\Trend Micro\PC-cillin 2003

C$\Archivos de Programa\Trend Micro\Internet Security

C$\Archivos de Programa\NavNT

C$\Archivos de Programa\Panda Sfromtware\Panda Antivirus Platinum

C$\Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal

C$\Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro

C$\Archivos de Programa\Panda Sfromtware\Panda Antivirus 6.0

C$\Archivos de Programa\CA\eTrust EZ Armor\eTrust EZ Antivirus

Esto implica que estos archivos serán eliminados de los ordenadores pertenecientes a la misma red que el sistema afectado.

Finaliza los programas, cuyo nombre contenga una de las siguientes cadenas de texto:

FIX

KASPERSKY

MCAFEE

NORTON

REMOVAL

SCAN

SYMANTEC

TREND MICRO

VIRUS

Monitoriza el tráfico de red en las siguientes conexiones para obtener contraseñas:

@HOTMAIL

@HOTPOP

@YAHOOGROUPS

ANTI

AVG

BLOCKSENDER

CA.COM

CILLIN

EEYE

GMAIL.COM

GROUPS.MSN

HOTMAIL

MICROSOFT

MSN

MYWAY

NOMAIL.YAHOO.COM

PANDA

SCRIBE

SECUR

SPAM

TREND

YAHOO! MAIL

YAHOOGROUPS

Se conecta a la página web http://webstats.web.rcn.net para saber el número de infecciones que Tearec.A ha realizado.



Plataformas que infecta: Windows 95/98/ME/NT/2000/XP

Fecha de aparición: 16 de Enero de 2006 a las 0:00 horas

¿Está en circulación?: 1

Utilidad de reparación: 0

Descripción breve:

Tearec.A es un gusano que deshabilita y finaliza varios programas antivirus si están instalados en el ordenador afectado. También intenta borrar archivos pertenecientes a varios programas antivirus, programas de intercambio de archivos punto a punto (P2P) y otras aplicaciones de Internet, lo que provocaría que todos ellos dejaran de funcionar.



Además, monitoriza el tráfico de red en ciertas conexiones relacionadas con programas antivirus y servicios de correo web, y así poder obtener contraseñas.



Tearec.A se propaga a través de correo electrónico en un mensaje de características variables y a través de redes de ordenadores.



Síntomas visibles:

Tearec.A es fácil de reconocer una vez ha afectado el ordenador, ya que presenta los siguientes síntomas:



Si detecta un programa antivirus instalado, muestra el texto Update Please wait en la Barra de Tareas.

Si Tearec.A no detecta ningún programa antivirus instalado, abre un archivo comprimido denominado SAMPLE.ZIP, que está vacío. Su objetivo es despistar a los usuarios y hacerles pensar que se trata de un archivo dañado.


[/quote]

Si dices que tu antivirus no te lo elimina, trataremos de analizar las muestras que nos envies, reproducirlo en nuestros ordenadores, ver lo que hace, y trataremos de hacer la utilidad que deshaga lo hecho, aunque si ha eliminado ficheros como dice...



Para ello, envianos ficheros infectados empaquetando todos los que hayan sido detectados con este virus, en un zip con password VIRUS, a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques como referencia REF TEAREC y tras analizarlo te informaremos como respuesta de este Tema



saludos



ms, 20-1-2006

[neo64_00]

Gracias!! cuenten con ello esta misma tarde :D

[msc hotline sat]

Bien, el lunes a primera hora, cuando llegue a la empresa, persigo sus muestras y les doy prioridad. El mismo lunes le diremos algo.



saludos



ms, 21-1-2006

[msc hotline sat]

No se han recibido las muestras en cuestion.



Repita el envio o comentenos si tiene problemas al respecto,



Quedamos a la espera de las muestras o de sus noticias para trabajar en ello



saludos



ms, 23.-1.-2006

[msc hotline sat]

A la espera de las muestras, hemos mirado de informanos sobre este virus, y vemos que cada antivirus le llama diferente, a saber:



Computer Associates Win32/Blackmal.F

McAfee W32/MyWife.d@MM

Norman W32/Small.KI@mm

Pandasoftware Tearec.A

Sophos W32/Nyxem-D

Symantec W32.Blackmal.E@mm

Trend Micro Worm_Grew.A

F-Secure Nyxem.E @MM

Fortinet W32/Grew.A@wm

F-Prot W32/Kapser.A@mm



y la descripcion de McAfee al respecto se puede ver en:



http://vil.nai.com/vil/content/v_138027.htm


[quote="McAfee"]
Virus Name Risk Assessment

W32/MyWife.d@MM Corporate User : Low

Home User : Low







Virus Information

Discovery Date: 01/17/2006

Origin: Unknown

Length: Varies

Type: Virus

SubType: E-mail

Minimum DAT: 4642 (12/02/2005)

Updated DAT: 4679 (01/20/2006)

Minimum Engine: 4.4.00

Description Added: 01/17/2006

Description Modified: 01/17/2006 5:11 PM (PT)





Virus Characteristics:

This worm is proactively detected by 4642 and higher DATs as W32/Generic.worm!p2p. 4677 and higher DATs will detect this specifically as W32/MyWife.d@MM



This is a mass-mailing worm that bears the following characteristics:



contains its own SMTP engine to construct outgoing messages

spreads through open network shares

tries to lower security settings and disable security software

E-mail Component:



The virus arrives in an email message as follows:



From: (Spoofed email sender)



Do not assume that the sender address is an indication that the sender is infected. Additionally you may receive alert messages from a mail server that you are infected, which may not be the case.



Subject: (Varies, such as)



Photos

My photos

School girl fantasies gone bad

Part 1 of 6 Video clipe

*Hot Movie*

Re:

Fw: Picturs

Fw: Funny :)

Fwd: Photo

Fwd: image.jpg

Fw: Sexy

Fw:

Fwd: Crazy illegal Sex!

Fw: Real show

Fw: SeX.mpg

Fw: DSC-00465.jpg

Re: Sex Video

Word file

the file

eBook.pdf

Miss Lebanon 2006

A Great Video

give me a kiss

Body: (Varies, such as)



Note: forwarded message attached.

You Must View This Videoclip!

>> forwarded message

i just any one see my photos.

forwarded message attached.

Please see the file.

----- forwarded message -----

The Best Videoclip Ever

Hot XXX Yahoo Groups

F***in Kama Sutra pics

ready to be F***ED ;)

VIDEOS! FREE! (US$ 0,00)

It's Free :)

hello,

i send the file.

bye

hi

i send the details

i attached the details.

how are you?

What?

Thank you

i send the details.

OK ?

(N.B. *** replaces content for filtering purposes)



Attachment:



The files attached to the email may either be the executable itself or a MIME encoded file which contains the executable.



The executable filename is chosen from the following list:



04.pif

007.pif

School.pif

photo.pif

DSC-00465.Pif

Arab sex DSC-00465.jpg

image04.pif

677.pif

DSC-00465.pIf

New_Document_file.pif

eBook.PIF

document.pif

The MIME encoded files' name is chosen from the following list:



SeX.mim

Sex.mim

WinZip.BHX

3.92315089702606E02.UUE

Attachments[001].B64

eBook.Uu

Word_Document.hqx

Word_Document.uu

Attachments00.HQX

Attachments001.BHX

Video_part.mim

It may also be chosen from the following list of prefaces:



392315089702606E-02

Clipe

Miss

Sweet_09

with the following file extensions:



.mim

.HQX

.BHx

.b64

.uu

.UUE

The filename within the MIME encoded file is chosen from the following list:

Attachments[001],B64 .sCr

392315089702606E-02,UUE .scR

SeX,zip .scR

WinZip.zip .sCR

ATT01.zip .sCR

Word.zip .sCR

Word XP.zip .sCR

New Video,zip .sCr

Atta[001],zip .SCR

Attachments,zip .SCR

Clipe,zip .sCr

WinZip,zip .scR

Adults_9,zip .sCR

Photos,zip .sCR

When this file is run, it copies itself to the Windows System directory as one or more of the following filenames.



%SysDir% \Winzip.exe

%SysDir% \Update.exe

%SysDir% \scanregw.exe

%WinDir% \Rundll16.exe

%WinDir% \winzip_tmp.exe

c:\winzip_tmp.exe

%Temp% \word.zip .exe

(Where %Sysdir% is the Windows System directory - for example C:\WINDOWS\SYSTEM - %WinDir% is the Windows Directory, and %Temp% is the Temp Directory)



It creates the following registry entry to hook Windows startup:



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run\ScanRegistry="scanregw.exe /scan"

Network Share Component:



The worm will attempt to copy itself to the following shares, using the current user's authentication:



C$\documents and settings\all users\start menu\programs\startup\winzip quick pick.exe

Admin$\winzip_tmp.exe

C$\winzip_tmp.exe





Symptoms

Security Settings Modification:



The following registry keys are modified to lower security settings:



HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\NotifyDownloadComplete="7562617"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Internet Settings\ZoneMap\IntranetName="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\Currentversion\Explorer\Advanced\WebView="0"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\Currentversion\Explorer\Advanced\ShowSuperHidden="0"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\Explorer\CabinetState\FullPath="0"

Registry entries under the following key are modified to disable security software:



SOFTWARE\Classes\Licenses

.EXE or .PPL Files found within the folders listed for the following registry entries are deleted:



HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk

\VirusProtect6\CurrentVersion

HKEY_LOCAL_MACHINE\Software\Symantec\InstalledApps

HKEY_LOCAL_MACHINE\Software\KasperskyLab\Components

\101

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

HKEY_LOCAL_MACHINE\Software\KasperskyLab

\InstalledProducts\Kaspersky Anti-Virus Personal

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\App Paths\Iface.exe

The worm attempts to delete the following files:





%ProgramFiles% \DAP\*.dll

%ProgramFiles% \BearShare\*.dll

%ProgramFiles% \Symantec\LiveUpdate\*.*

%ProgramFiles% \Symantec\Common Files\Symantec Shared\*.*

%ProgramFiles% \Norton AntiVirus\*.exe

%ProgramFiles% \Alwil Software\Avast4\*.exe

%ProgramFiles% \McAfee.com\VSO\*.exe

%ProgramFiles% \McAfee.com\Agent\*.*

%ProgramFiles% \McAfee.com\shared\*.*

%ProgramFiles% \Trend Micro\PC-cillin 2002\*.exe

%ProgramFiles% \Trend Micro\PC-cillin 2003\*.exe

%ProgramFiles% \Trend Micro\Internet Security\*.exe

%ProgramFiles% \NavNT\*.exe

%ProgramFiles% \Morpheus\*.dll

%ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl

%ProgramFiles% \Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe

%ProgramFiles% \Grisoft\AVG7\*.dll

%ProgramFiles% \TREND MICRO\OfficeScan\*.dll

%ProgramFiles% \Trend Micro\OfficeScan Client\*.exe

%ProgramFiles% \LimeWire\LimeWire 4.2.6\LimeWire.jar

It also tries to delete files from the following locations on network shares:



\C$\Program Files\Norton AntiVirus

\C$\Program Files\Common Files\symantec shared

\C$\Program Files\Symantec\LiveUpdate

\C$\Program Files\McAfee.com\VSO

\C$\Program Files\McAfee.com\Agent

\C$\Program Files\McAfee.com\shared

\C$\Program Files\Trend Micro\PC-cillin 2002

\C$\Program Files\Trend Micro\PC-cillin 2003

\C$\Program Files\Trend Micro\Internet Security

\C$\Program Files\NavNT

\C$\Program Files\Panda Software\Panda Antivirus Platinum

\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal

\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro

\C$\Program Files\Panda Software\Panda Antivirus 6.0

\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus

It monitors the internet browser for the following strings:



YAHOO! MAIL -

@YAHOOGROUPS

BLOCKSENDER

SCRIBE

YAHOOGROUPS

TREND

PANDA

SECUR

SPAM

ANTI

CILLIN

CA.COM

AVG

GROUPS.MSN

NOMAIL.YAHOO.COM

EEYE

MICROSOFT

HOTMAIL

MSN

MYWAY

GMAIL.COM

@HOTMAIL

@HOTPOP

The worm will close applications whose title contains one of the following strings:



SYMANTEC

SCAN

KASPERSKY

VIRUS

MCAFEE

TREND MICRO

NORTON

REMOVAL

FIX

The values in the list below are deleted from Registry Run and Runservices keys, to prevent them from being restarted:



PCCIOMON.exe

pccguide.exe

Pop3trap.exe

PccPfw

tmproxy

McAfeeVirusScanService

NAV Agent

PCCClient.exe

SSDPSRV

rtvscn95

defwatch

vptray

ScanInicio

APVXDWIN

KAVPersonal50

kaspersky

TM Outbreak Agent

AVG7_Run

AVG_CC

Avgserv9.exe

AVGW

AVG7_CC

AVG7_EMC

Vet Alert

VetTray

OfficeScanNT Monitor

avast!

DownloadAccelerator

BearShare





Method Of Infection

This worm tries to spread via email and by copying itself to local shares.

The mailing component harvests address from the local system. Files with the following strings are targeted:



.HTM

.DBX

.EML

.MSG

.OFT

.NWS

.VCF

.MBX

.IMH

.TXT

.MSF

CONTENT.

TEMPORARY





Removal Instructions

All Users :

Use current engine and DAT files for detection and removal.



Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).



Additional Windows ME/XP removal considerations



Variants

Name Type Sub Type Differences





Aliases

Name

W32.Blackmal.E@mm (NAV)

W32/Grew.A!wm (Fortinet)

W32/Kapser.A@mm (F-Prot)

W32/Nyxem-D (Sophos)

W32/Tearec.A.worm (Panda)

Win32/Blackmal.F (Vet)

WORM_GREW.A (Trend)


[/quote]

Al estar ya controlado y eliminado por McAfeem salvo que recibamos muestras al respecto, se entiende suficiente con el antivirus en cuestion.



saludos



ms, 23-1-2006

[neo64_00]

Mil disculpas, no habia podido juntar los archivos, asi que les envie por correo el ejecutable del virus.

Gracias y saludos.

[msc hotline sat]

Recibidas las muestras. Mucho cuidado !!! El día 3 de cada mes tiene payload destructivo y se acerca la semana que viene, sobreescribiendo XLS. DOC, MDB, PPT, ZIP, RAR, etc, aparte de la malicia, eliminacion de claves y borrado de ficheros que ya hace de entrada...



Mañana haremos una utilidad de eliminacion al respecto,. a ver si conseguimos que todo el mundo se desinfecte a tiempo !!!



saludos



ms, 24-1-2006

[msc hotline sat]

[url=http://www.imagenesup.com][img]http://www.imagenesup.com/temporal/43/newgira.gif[/img][/url]



Ampliacion del payload destructivo del MyWife.D:



El día 3 de cada mes, a la ½ hora de entrar en funcionamiento, el gusano en cuestion sobreescribe con el siguiente codigo ""DATA Error [47 0F 94 93 F4 K5]" los ficheros que encuentra de las siguientes extensiones





DOC

XLS

MDB

MDE

PPT

PPS

ZIP

RAR

PDF

PSD

DMP



Suerte que tenemos tiempo hasta la semana que viene !!!



saludos



ms, 24-1-2006

[msc hotline sat]

Disponible ya en esta web la nueva utilidad ELIMYWIF.EXE que controla, detecta y elimina este nuevo bicho, y si llegamos tarde, elimina los ficheros sobreescritos, reducidos a 32 bytes con el codigo sobreescrito indicado. relacionandolos como eliminados en el informe de salida C:\infosat.txt



Ver informacion complementaroa de todos los antivirus normalizados por CME:



http://cme.mitre.org/data/list.html#24



Prueba la utilidad (antes del día 3 !!! :lol: )descargandola de:



http://www.zonavirus.com/datos/descargas/230/ELIMYWIFEXE.asp



y nos comnetas el resultado como respùesta de este Tema, gracias



ms, 25-1-2006

[neo64_00]

Gracias estoy probando, por que tuve problemas con otro equipo en otro post ya puse que paso, per gracias y estoy probando!!

[neo64_00]

Gracias, al parecer va muy bien, desinfecte la maquina con problemas, y va muy bien.

Si sale algo posteo. gracias de nuevo y saludos!!

[msc hotline sat]

Pues nos alegramos de ello, y solucionado el problema, procedemos a cerrarlo



saludos



ms, 26-1-2006