Alilas "virus" (SOLUCIONADO)

[tanyt]

Hola, mi problema es un virus que se nos ha colado por el emule. Desde ayer, el emule se abre automaticamente aunque no estemos ocnectados a la red se abre una pagina de internet en español llamada Alila's homepage y una imagen d paint de una cara d un xico, llamada "yop". Des de que a ocurrido esto , este virus se pasa a los contactos de messenger una vez abierta nuestra sesion.

Tambien provoca interferencias en la imagen y hay archivos en c:/ que no podemos eliminar como:

wuauclt32



Alguien me puede ayudar a solucionar esto??



Gracias

[msc hotline sat]

Pues envianos muestra de este wuauclt32.exe y lo analizaremos, e implementaremos en nuestras utilidades el control y eliminacion de claves y fichero que esten relacionados.



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF tanyt" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



saludos



ms, 17-7-2006

[Incubus421]

Que tal, amigos.



Yo también tengo el mismo problema. El virus entró ayer a mi pc debido a que uno de mis contactos en el Messenger estaba conectado desde un computador público. Hay dos archivos que no se pueden borrar, que son [i]wuauclt32[/i] y [i]wormaililis[/i] (que se encuentra en la carpeta System32 de Windows).



La trampa es que el archivo que ejecuta el virus tiene como ícono el de una imagen, por lo cual quien lo abre no se da cuenta de que es un archivo .exe; además, este archivo está comprimido (tiene por nombre algo como "HP_Camara_Digital"), por lo que se puede enviar por el Messenger sin que el Firewall lo bloquee (sale como si el contacto hubiera escrito: "hey aquí te mando unas fotos que me hice ayer, miralas a ver si te gustan" - Se envía automáticamente.



Bueno, eso es todo.. me tomaré la molestia de enviar una muestra de los dos archivos en cuestión a la cuenta proporcionada (zonavirus@satinfo.es).



De antemano agradezco su colaboración.



Juan.

[msc hotline sat]

Envianos tu tambien los dos ficheros indicados, que en cuanto lleguen se procesarán ...



Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF Incubus421" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.



saludos



ms, 26-7-2006

[Incubus421]

Ya he enviado un correo con la muestra del virus.

[msc hotline sat]

Pues en cuanto volvamos mañana al trabajo los monitorizaremos y seran controlados en la proxima version del nuestras utilidades, de lo cual informaremos



saludos



ms, 26-7-2006

[msc hotline sat]

Recibida la muestra, de entrada McAfee ya lo detecta como Generic.worm.B



Se pasa a I+D para su estudio e implementacion en nuevas versiones de nuestras utilidades.



Como ya se sabe, otros antivirus lo detectan como Ailis:


[quote="VirusTotal"]Este es el resultado completo de analizar el archivo "yoo.exe" que VirusTotal ha recibido el día 27.07.2006 a las 09:27:29 (CET).



Antivirus Version Actualización Resultado

AntiVir 6.35.1.0 27.07.2006 TR/VB.AililiA.A

Authentium 4.93.8 26.07.2006 no ha encontrado virus

Avast 4.7.844.0 26.07.2006 no ha encontrado virus

AVG 386 26.07.2006 Worm/Generic.SF

BitDefender 7.2 27.07.2006 Trojan.VB.AililiA.A

CAT-QuickHeal 8.00 26.07.2006 no ha encontrado virus

ClamAV devel-20060426 27.07.2006 no ha encontrado virus

DrWeb 4.33 27.07.2006 no ha encontrado virus

eTrust-InoculateIT 23.72.79 27.07.2006 no ha encontrado virus

eTrust-Vet 12.6.2312 27.07.2006 no ha encontrado virus

Ewido 4.0 26.07.2006 Worm.Ailis.a

Fortinet 2.77.0.0 27.07.2006 W32/Ailis.A!worm

F-Prot 3.16f 26.07.2006 no ha encontrado virus

F-Prot4 4.2.1.29 26.07.2006 no ha encontrado virus

Ikarus 0.2.65.0 27.07.2006 no ha encontrado virus

Kaspersky 4.0.2.24 27.07.2006 Worm.Win32.Ailis.a

McAfee 4815 26.07.2006 W32/Generic.worm.b

Microsoft 1.1508 27.07.2006 no ha encontrado virus

NOD32v2 1.1680 27.07.2006 probably unknown NewHeur_PE virus

Norman 5.90.23 26.07.2006 no ha encontrado virus

Panda 9.0.0.4 26.07.2006 W32/Ailis.A.worm

Sophos 4.07.0 27.07.2006 no ha encontrado virus

Symantec 8.0 27.07.2006 no ha encontrado virus

TheHacker 5.9.8.182 27.07.2006 W32/Ailis.a

UNA 1.83 26.07.2006 no ha encontrado virus

VBA32 3.11.0 26.07.2006 Worm.Win32.Ailis.a

VirusBuster 4.3.7:9 26.07.2006 no ha encontrado virus





Información adicional

Tamaño archivo: 19456 bytes

MD5: 400c064ffa7d6f6f8acca359dea6d49b

SHA1: 2e339165ef9a1d1afa576cdbc89f2e56a6f6b556

packers: Aspack
[/quote]

Se aprecia a primera vista que desactiva el Administrador de tareas y la edicion del registro



Se busca informacion existente al respecto de este gusano:



http://www.pandasoftware.com/spain/virus_info/enciclopedia/verficha.aspx?idvirus=122724&sitepanda=empresas





seguiremos informando



saludos



ms, 27-7-2006

[Incubus421]

Muchísimas gracias por la información. Afortunadamente, ayer logré borrar los archivos iniciando la sesión de Windows en Modo Seguro. Desde entonces no se han presentado más inconvenientes, pero el Administrador de Tareas sigue desactivado. Hay alguna forma de habilitarlo nuevamente?



Gracias.

[msc hotline sat]

Subida la nueva version del ELISTARA que lo controla y elimina, aparte de restaurar las claves del Editor de registro y del administrador de tareas:



---v12.18-(27 de Julio del 2006) (Muestras de Puper "ISHOST.EXE" y Ailis "WORMAILILIS.EXE")



Descargala, pruebala e informanos del resultado, gracias





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





saludos



ms, 27-7-2006

[Incubus421]

Bueno, pues el Administrador de Tareas está activo de nuevo. Todo volvió a la normalidad. :D



Muchas gracias por su colaboración.



Juan.

[msc hotline sat]

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms. 28-7-2006