¿Que virus tengo? (SOLUCIONADO)

[sparki]

Desde hace unos días, me ocurre que al pulsar la tecla del acento me aparecen directamente dos tildes, en todas las aplicaciones del pc. Le he pasado el norton online y me ha detectado un supuesto virus (Trojan Horse) en dos ficheros que son: c:\windows\temp\mdm.exe y en c:\windows\system32\msntb.dll. En la lista de tareas en ejecucion tengo el mdm, y cuando finalizo el proceso se corrige el problema de los acentos. El problema es que no se cual es exactamente este virus, ni lo que hace (aparte de los acentos). He estado buscando webs para reportarlo a ver que me dicen, porque he estado buscando por internet en un monton de páginas y no encuentro ningun virus que utilice los ficheros que yo tengo afectados.

Si podéis darme alguna ayuda o decirme si puedo reportarlo a algun sitio para que lo analicen mas en detalle os lo agradecería.



Un saludo

sparki

[msc hotline sat]

El desarrollo de aplicaciones sin tabla de caracteres en castellano, puede ocasionar un bug que no tenga presentes los acentos (en inglés no existen) y que cuando se acentúa una letra aparezcan dos apóstrofes en su lugar.

Ello puede sucerder tanto en aplicaciones víricas como en normales, y algun virus como el Badtrans estaba afectado por dicho fallo, pero ello no quiere decir que por este hecho, las aplicaciones que lo presenten sean virus., sino hechas sin tener en cuenta nuestro idioma,



Tambien algun troyano y keylogger adolecen del mismo problema, como cualquier otra aplicacion.





El Mdm.exe (Machine Debug Manager) es originalmenteel el Sistema de Depuracion de Procesos de Microsoft Windows



Ahora bien, este programa debe estar lanzado desde C:\Windows\System32 en XP, de lo contrario puede ser un troyano





En el caso que esté lanzado desde donde Vd indica, c:\windows\temp\mdm.exe es un troyano claro, en primer lugar por la ruta donde está, y en segundo lugar por estar lanzado desde un directorio temporal.





Con el MSNTB.DLL ocurre algo similar: originalmente es el MSN Tool Bar, y debe estar en C:\Atchivos de Programa\MSN Apps\MSN Toolbar

pero si está en C:\windows\system32 puede ser un troyano:



Ver http://www.file.net/process/msntb.dll.html



En consecuencia creo que tiene bichos !!!





Envienos estos dos ficheros:





[b]c:\windows\temp\mdm.exe



C:\windows\system32\MSNTB.DLL[/b]





anexados a un mail dirigido a zonavirus@satinfo.es en cuyo texto indique como referencia REF MSNTB y tras analizarlos. implementaremos su control y eliminacion en nuestras utilidades y le informaremos al respecto



saludos



ms, 14-3-2006

[sparki]

Actualmente lo he eliminado por lo menos provisionalmente volviendo a un punto de restauracion del pc anterior a la infección que además no se como ha sido.



Curiosamente, ya con un antivirus actualizado he comprobado que por el mero hecho de abrir la unidad a:\, donde tengo un disquete con los ficheros grabados el mcafee me detecta que se estaba copiando la dll al directorio c:\windows\system32\.



Por otro lado Mcafee me detecta como nombre del virus: generic.delphi. Lo que me gustaría saber es si se trata de un virus conocido (¿Cual es?) o si es alguna modificacion de alguno existente, o que. He estado buscando por internet sobre ese virus y tampoco encuentro demasiada información. Y lo que encuentro no me habla de estos ficheros infectados.



Un saludo de nuevo.



Sparki



Ya he enviado el correo con el titulo que me indicáis para que podáis analizarlo. Espero vuestra respuesta.

[msc hotline sat]

Recibido zip con los ficheros. Entraran hoy en proceso.



Sobre el Generic.Delphi se trata de un un malware que se porpaga por P2P, con la siguiente informacion:



http://vil.nai.com/vil/content/v_129100.htm



si bien es una descripcion genérica de una serie de gusanos escritos en Borland Delphi, razon por la que no se precisa nombres especificos



saludos



ms, 14-3-2006

[msc hotline sat]

Comentarle que bajo la apriencia de ser de microsoft, indicando en propiedades serlo. con descripcion, número de serie y demas, son mas falsos que un billete de 1000 euros (actualmente, claro) !



EL MDM.exe qieda residente y lanza el I.E. en segundo plano, y por mas que se cierre, lo vuelve a lanzar jasta que se detecha el proceso MDM, lo cual no hace la aplicacion normal de microsoft !!!



Mientras vemos sus intenciones y demas, piede arrancar en modo seguro y mover los dos foicheros a cuarentena, oara, tras reiniciar normalmente ya no sean puestos en funcionamiento y no actue, pues el hecho de abrir el navegador nos hace pensar que o bien quiere enviar algo (cazaoaswords, PWS, keyloggers) o descargar algun troyano



Bueno,. la DLL tiene miga: No es un Tool Bar como reza la de microsoft sino TOOL BANK, seguramente cazapasswords bancarios, asi que conviene ponerla en cuarentena, mientras hacemos la utilidad ELISTARA 11.33 que la controlará.



saludos



ms, 14-3-2006

[sparki]

He estado comprobando que en el registro existe una llamada a la librería, pero no al mdm. Supongo que el mdm lo carga la misma librería, ya que las referencias al mdm en el registro son a otro mdm que no está en c:\windows\temp\.



Las llamadas que tiene en el registro son las siguientes:



Windows Registry Editor Version 5.00



[HKEY_CLASSES_ROOT\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}\InprocServer32]

@="C:\\WINDOWS\\System32\\msntb.dll"

"ThreadingModel"="Apartment"



y



Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}\InprocServer32]

@="C:\\WINDOWS\\System32\\msntb.dll"

"ThreadingModel"="Apartment"





Las referencias del registro al mdm son mas o menos como la siguiente:



Windows Registry Editor Version 5.00



[HKEY_CLASSES_ROOT\CLSID\{0C0A3666-30C9-11D0-8F20-00805F2CD064}\LocalServer32]

@="\"C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\VS7DEBUG\\MDM.EXE\""



que creo que son validas y correctas.



Existe una llamada rara donde interviene el mdm.exe que es:



Windows Registry Editor Version 5.00



[HKEY_CLASSES_ROOT\AppID\mdm.exe]

@=""

"AppID"="{9209B1A6-964A-11D0-9372-00A0C9034910}"



Esta no se si tiene algo que ver.



Espero que todos estos datos os sean de ayuda.



Un saludo



Sparki

[sparki]

Existe otra llamada del mismo tipo que la ultima al mdm.exe en otra clave del registro, que es:



[i]Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\mdm.exe]

@=""

"AppID"="{9209B1A6-964A-11D0-9372-00A0C9034910}"[/i]

[msc hotline sat]

Ya se ha subido a esta web la versiom 11.33 del ELISTARA:



---v11.33-(14 de Marzo del 2006) (Muestras de Oleloa "UNINSTIU.EXE", (2)Puper(dr) "NVCTRL.EXE", (2)Puper(dldr) "MSSEARCHNET.EXE", (2)Spy.Delf "MDM.EXE y MSNTB.DLL", NewDotNet, DFC o Dyfuca "WSEM302.DLL" y Gator DashBar "DASHBAR30.DLL")



Y no toques nada del registro !!!



Pruebala y nos comentas el resultado. Ha de contemplar este generic.Delphi



saludos



ms, 14-3-2006

[sparki]

Es posible que me facilitara la información con los datos de este virus o troyano que le hemos pasado. Me gustaría saber que es lo que hace exactamente y que es lo que toca para poder realizar en algun caso una limpieza manual.



Un saludo



sparki

[msc hotline sat]

Los dos ficheros corresponden a una familia generica de virus hechos en Borland Delphi



Los diferentes antivirus utilizados en el testeo ofrecen similares detecciones en ambos ficheros:







File: mdm.gxe

Status: INFECTED/MALWARE

MD5 00cd95e7f5410b69952c69b79f04d450

Packers detected: FSG

Scanner results

AntiVir Found Trojan/Spy.Delf.LH.3

ArcaVir Found Trojan.Spy.Delf.Lh

Avast Found Win32:Trojano-3166

AVG Antivirus Found PSW.Generic.OQL

BitDefender Found Trojan.Spy.Delf.LH

ClamAV Found nothing

Dr.Web Found Trojan.PWS.Nana

F-Prot Antivirus Found nothing

Fortinet Found W32/Delf.LH-tr

Kaspersky Anti-Virus Found Trojan-Spy.Win32.Delf.lh

NOD32 Found Win32/Spy.Delf.LH

Norman Virus Control Found W32/Delf.EZE

UNA Found Trojan.Spy.Win32.Delf

VirusBuster Found nothing

VBA32 Found Trojan-Spy.Win32.Delf.lh









File: Msntb_dll

Status: INFECTED/MALWARE

MD5 feabd70c0ff8e6e878f89ebfeda279a8

Packers detected: -

Scanner results

AntiVir Found Trojan/Spy.Delf.LH.2

ArcaVir Found Trojan.Spy.Delf.Lh

Avast Found nothing

AVG Antivirus Found PSW.Generic.OIC

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found Trojan.PWS.Nana

F-Prot Antivirus Found nothing

Fortinet Found Spy/Delf!0538

Kaspersky Anti-Virus Found Trojan-Spy.Win32.Delf.lh

NOD32 Found Win32/Spy.Delf.LH

Norman Virus Control Found W32/Delf.EZO

UNA Found Trojan.Spy.Win32.Delf

VirusBuster Found nothing

VBA32 Found Trojan-Spy.Win32.Delf.lh



Como descripcion del DEL.LH, VSantivirus indica:


[quote]
Spy.Delf.LH. Roba información de cuentas bancarias

http://www.vsantivirus.com/spy-delf-lh.htm



Nombre: Spy.Delf.LH

Nombre NOD32: Win32/Spy.Delf.LH

Tipo: Caballo de Troya

Alias: Delf.LH, Spy.Delf.LH, PSW.Generic.OQL, TR/Spy.Delf.LH.3, TR/Waven.A.3, Troj/Bnksa-Fam, Trojan.PWS.Nana, Trojan.Spy.Delf.Lh, Trojan.Spy.Win32.Delf, Trojan/Spy.Delf.lh, Trojan/Spy.Delf.LH.3, TrojanSpy.Delf.lh, Trojan-Spy.Win32.Delf.lh, W32/Delf.LH-tr, W32/Waven-A, Win32/Spy.Delf.LH, Win32/TbMSN!Trojan, Win32/WavenDl.A, Win32:Trojano-3166

Fecha: 2/feb/06

Actualizado: 7/feb/06

Plataforma: Windows 32-bit

Tamaño: 316,341 bytes (FSG)



Troyano que intenta robar información relacionada con las transacciones financieras del usuario infectado.



El troyano intenta conectarse a alguno de los siguientes sitios de Internet:

http://planet.nana.co.il/????/logo.gif

http://verynice1.no-ip.org/????/logo.gif



El archivo LOGO.GIF es descargado y guardado como MDM.EXE, y luego ejecutado.



Cuando se ejecuta, permanece en memoria y monitorea las teclas pulsadas por el usuario. En el caso de que los textos ingresados coincidan con ciertas entidades financieras, intentará capturar la información ingresada por el usuario.



La información capturada será enviada luego a un usuario remoto.



El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.



Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.





Reparación manual



NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.





Sobre el componente troyano



Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.



ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).



Más información:



Cómo configurar Zone Alarm 3.x

http://www.vsantivirus.com/za.htm





Antivirus



Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:



1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:



Cómo iniciar su computadora en Modo a prueba de fallos.

http://www.vsantivirus.com/faq-modo-fallo.htm



2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.



3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.



4. Borre todos los archivos detectados como infectados.





Borrar manualmente archivos agregados por el virus



Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".



Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".





Editar el registro



Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.



1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER



2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:



HKEY_CURRENT_USER

\Software

\Microsoft

\Windows

\CurrentVersion

\Run



3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".



4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\Run



5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".



6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\RunServices



7. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".



8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.



9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).





Borrar archivos temporales



1. Cierre todas las ventanas y todos los programas abiertos.



2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.



Nota: debe escribir también los signos "%" antes y después de "temp".



3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").



4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.



5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".



NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:



Cómo iniciar su computadora en Modo a prueba de fallos.

http://www.vsantivirus.com/faq-modo-fallo.htm





Borrar Archivos temporales de Internet



1. Vaya al Panel de control, Opciones de Internet, General



2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"



3. Marque la opción "Eliminar todo el contenido sin conexión"



4. Haga clic en Aceptar, etc.





Información adicional



Cambio de contraseñas



En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.





Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)



Para activar ICF en Windows XP, siga estos pasos:



1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).



2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.



3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.



4. Seleccione Aceptar, etc.





Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Limpieza de virus en Windows Me y XP



Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:



Limpieza de virus en Windows Me

http://www.vsantivirus.com/faq-winme.htm



Limpieza de virus en Windows XP

http://www.vsantivirus.com/faq-winxp.htm







(c) Video Soft - http://www.videosoft.net.uy

(c) VSAntivirus - http://www.vsantivirus.com
[/quote]



Se recuerda que con el actual ELISTARA se eliminan ficheros y restauran claves de registro de este troyano, si bien el robo de contraseñas o cualquier otra malicia que hubiera podido efectuar, debe tenerse en cuenta para obrar en consecuencia



Y ya considerando solucionado el Tema, procedemos a cerrarlo



saludos



ms, 16-3-2006