Fichero sospechoso

[sparki]

Me ha llegado un fichero .exe de un conocido. No se muy bien lo que hace, pero este conocido dice no habermelo enviado. Lo he analizado con varios antivirus, y ninguno me indica que sea un virus. Me gustaría que lo analizárais para saber si lo es, y si es así intentar ayudar a mi amigo.



Un saludo

[msc hotline sat]

Realmente si lo ha revibido sin que nadie se lo haya enviado expresamente, tiene muchas probabilidades de ser un malware, y el que no lo detecten los antivirus es normal, vea el "antivirus milagroso" qie analizó "koga" con el VIRUSTOTAL y 26 antivirus no detectaron nada... y era un BIFROSE de arriba a abajo !:









Envienos la muestra conforme indicamos analizaramos:


[quote]


Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte
[/quote]

saludos



ms, 26-10-2006

[msc hotline sat]

Realmente si lo ha revibido sin que nadie se lo haya enviado expresamente, tiene muchas probabilidades de ser un malware, y el que no lo detecten los antivirus es normal, vea el "antivirus milagroso" qie analizó "koga" con el VIRUSTOTAL y 26 antivirus no detectaron nada... y era un BIFROSE de arriba a abajo !:



https://foros.zonavirus.com/2-vt13900.html?start=15



Los virus nuevos o nuevas variantes de los antiguos, no son detectados necesariamente nmientras no son conocidos..



Envienos la muestra conforme indicamos analizaremos e informaremos:


[quote]


Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte
[/quote]

saludos



ms, 26-10-2006

[msc hotline sat]

Recibido el "sospechoso" es detectado de entrada como downloader por dos de los antivirus del VIRUSTOTAL, por lo que ya se le adelanta que efectivamente es malware y pasamos a implementar su control y eliminacion en el ELISTARA de hoy , junto con los demas downloaders controlados



Sobre las 19 h se subira a esta web para pruebas de evaluacion



Resultado del VirusTotal:



[quote=VIRUSTOTAL de Hispasec]

Este es el resultado completo de analizar el archivo "Sospechoso.gxe" que VirusTotal ha recibido el día 26.10.2006 a las 16:31:22 (CET).



Antivirus Version Actualización Resultado

AntiVir 7.2.0.32 26.10.2006 HEUR/Malware

Authentium 4.93.8 26.10.2006 no ha encontrado virus

Avast 4.7.892.0 26.10.2006 no ha encontrado virus

AVG 386 26.10.2006 no ha encontrado virus

BitDefender 7.2 26.10.2006 no ha encontrado virus

CAT-QuickHeal 8.00 26.10.2006 no ha encontrado virus

ClamAV devel-20060426 26.10.2006 no ha encontrado virus

DrWeb 4.33 26.10.2006 Trojan.DownLoader.14367

eTrust-InoculateIT 23.73.37 26.10.2006 no ha encontrado virus

eTrust-Vet 30.3.3158 26.10.2006 no ha encontrado virus

Ewido 4.0 26.10.2006 no ha encontrado virus

Fortinet 2.82.0.0 26.10.2006 suspicious

F-Prot 3.16f 26.10.2006 no ha encontrado virus

F-Prot4 4.2.1.29 26.10.2006 no ha encontrado virus

Ikarus 0.2.65.0 26.10.2006 no ha encontrado virus

Kaspersky 4.0.2.24 26.10.2006 no ha encontrado virus

McAfee 4881 25.10.2006 no ha encontrado virus

Microsoft 1.1609 25.10.2006 no ha encontrado virus

NOD32v2 1.1836 26.10.2006 no ha encontrado virus

Norman 5.80.02 26.10.2006 no ha encontrado virus

Panda 9.0.0.4 26.10.2006 Suspicious file

Sophos 4.10.0 26.10.2006 no ha encontrado virus

TheHacker 6.0.1.105 25.10.2006 no ha encontrado virus

UNA 1.83 25.10.2006 TrojanDownloader.Win32.Agent.b

VBA32 3.11.1 25.10.2006 no ha encontrado virus

VirusBuster 4.3.15:9 26.10.2006 no ha encontrado virus





Información adicional

Tamaño archivo: 23065 bytes

MD5: 5a4cd700f7c48234ba8586bc9f226c6a

SHA1: 2ede1ec9b99067e7920a97640094c4edc9208856

packers: UPX

packers: UPX

packers: UPX





[/quote]



saludos



ms, 26-10-2006



261006ES

[msc hotline sat]

Ya disponible nueva version de utilidad ELITRIIP



https://foros.zonavirus.com/nuevas-versiones-de-elitriip-elistara-elinotif-y-elistrat-vt14329.html



Tenga en cuenta que mañana terminaremos la total restauracion de las claves que afectan los virus enviados por Vd.



saludos



ms, 26-10-2006

[sparki]

Y la pregunta del millon. Si mi amigo lo ha ejecutado, que le habrá hecho en su ordenador. Es algo facilmente reversible, algo que su antivirus debe haberle detectado, o es dificil saberlo. Es decir que si la utilidad elistara elimina a este fichero, o tambien a los posibles daños que haya sufrido su ordenador al ejecutarlo?.



Un saludo

[msc hotline sat]

A ver, un downloader baja lo que encuantra en la web a la que accede y logicamente la eliminacion del mismo se limita a lo que este ha hecho, no a lo que puedan hacer otros que vete a saber lo que son y lo que haran



Pero lo importante siempre es matar a la madre del cordero ! Sino no se acabaría nunca. U si gay mas problemas, pues para eso estamos :lol:



saludos



ms, 26-10-2006