Archivo sospechoso (SOLUCIONADO)

koga · Mensaje por **koga** » 03 Dic 2006, 03:31

Tengo un archivo sospechoso que me llego por mail desde
Terra Cartões <cartoes[arroba]terra-cartoes.net> y tiene el siguiente texto en portugues,

Olá.

Surpresa!
Você acaba de receber um Postcards de Gabriela.

Y mas abajo un link para acceder a verla, al presionar el link descarga un archivo cartao.scr, mas sospechoso es que todos los links que tiene llevan al mismo lugar, descargar el archivo, incluso el que dice que haga click en ese link para ENVIAR una postal,
ademas es un ejecutable...

Ya envie la muestra para que lo revisen y ademas lo subi a virus total, adjunto la imagen con el resultado.

Saludos.

P.D: Ejecute el Elistara y no me lo detecto

Mensaje por **msc hotline sat** » 03 Dic 2006, 09:07

No, aun no habiamos tenido incidencias al respecto

Envianos, como ya sabes, el fichero en cuestion para analizar:

cartao.scr

saludos

ms, 3-12-2006

koga · Mensaje por **koga** » 04 Dic 2006, 04:40

La muestra la envie ayer antes de abrir el tema, espero me confirmen la recepcion del archivo, para enviarlo nuevamente si hubiese algun problema,

espero la respuesta :wink:

Saludos.

Mensaje por **msc hotline sat** » 04 Dic 2006, 08:03

En cuanto hoy entremos a trabajar en SATINFO, espero que la encontraremos (con otros mas de 1000 mails entre otras muestras, mails comerciales y de consultas de asociados y spams... :lol: del fin de semana) y se procedera a su entrada en proceso

saludos

ms, 4-12-2006

041206MR

nota: en atencion a tu colaboracion, tendras un trato preferente, koga, ms.

koga · Mensaje por **koga** » 04 Dic 2006, 08:24

Trato preferente?? que mejor trato que el ya me dan ayudando siempre que lo necesito y enseñandome cosas nuevas :wink: (en especial msc con sus consejos hasta de ortografia :lol: )

Lo del archivo no hay apuro ya que fue mas bien por prevencion, ya que no lo abrí por lo sopechoso que era, lo envie ya que como llego por mail si es algun virus o algo seguro alguien caera y sera bueno que lo controle alguna utilidad de la pagina...

Habria probado ejecutarlo en mi ordenador pero no he tenido mucho tiempo ultimamente (como para ocuparme de un bicho y ver que hace, si lo fuera...) ya que estoy en periodo de examenes, pero ya se vienen las vacaciones y estare de vuelta por estos lados :lol:

Saludos y gracias como siempre 8)

Mensaje por **msc hotline sat** » 04 Dic 2006, 09:35

No sé si siempre estás de examenes o de vacaciones ... :lol:

Y siempre se puede hacer de mas y de menos, aunque al estar trabajando lo primero es lo primero, pero en los espacios emtre llamadas y quehaceres se puede atender con prioridad lo que mas convenga...

Ya he llegado a la empresa y lop priomero es envcender mi ordenador, y al entrar a Internet ya me conecta con zonavirus, y visto este Tema me voy a poner en marcha routers y cortafuegos correspondientes que estan cerrados el fin de semana, durante el cual solo hay en marcha los de la web, routers, SAI, cortafuegos. aire acondicionado para el RAK, y las alarmas, pero aqui hay unos 50 ordenadores y otras hierbas...

saludos y hasta pronto y si ahora estas durmiendo,. para cuando te despiertes. chileno koga !

ms, 4-12-2006

Mensaje por **msc hotline sat** » 04 Dic 2006, 12:03

RECIBIDO EL FICHERO Y ANALIZADO, PASA A SER CONTROLADO Y ELIMINADO, TANTO ÉL COMO EL FICHERO QUE GENERA EN c:\WINDOWS\XPOS.EXE , CON LA PROXIMA VERSION DEL ELISTARA

Mira si tienes el indicado fichero c:\WINDOWS\XPOS.EXE y eliminalo mientras no tengas la nueva version que hacemos hoy 12.85,. disponible a partir de las 20 h de España

saludos

ms, 4-12-2006

Mensaje por **msc hotline sat** » 04 Dic 2006, 19:03

No te quejarás del servicio...:

Ya subida la nueva version a esta web:

http://www.zonavirus.com/descargas/elistara.asp

Espero la pruebes y comentes el resultado, gracias

saludos

ms, 4-12-2006

koga · Mensaje por **koga** » 04 Dic 2006, 20:39

Mi vida es bastante eso, examenes y vacaciones

En realidad tengo examenes bastante seguido pero estos son los ultimos del año antes de salir a vacaciones de verano... asi que hay que hacer el ultimo esfuerzo.
El archivo XPOS.EXE no lo tenia ya que no ejecute el archivo cartao por lo sospechoso que era, como dije fue mas por prevencion y siempre a alguien puede serle util...

Como siempre tu rapida atencion msc se agradece, ya ejecutada la nueva version de elistara:

Mon Dec 04 15:05:19 2006
EliStartPage v12.85 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\CARTAO.SCR --> Eliminado, BanLoad (dldr)
C:\Archivos de programa\Google\Gmail Notifier\UNINSTALLGMAIL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Documents and Settings\Familia\Configuración local\Archivos temporales de Internet\Content.IE5\5MI50WXQ\CARTAO[1].SCR --> Eliminado, BanLoad (dldr)
C:\Documents and Settings\Familia\Mis documentos\Programas\Editores de registro\REGISTRYWORKSHOP_ESN.EXE --> AutoExtraible
C:\Downloads\DEUSEXGOTYSETUP.EXE --> AutoExtraible

Como se aprecia ya detecta y elimina el archivo, ahora ya puedo probar con toda confianza ejecutarlo para ver que hace el bicho

(ya teniendo la cura)
Se agradece nuevamente la rapida atencion y espero pueda serle de utilidad a alguien el tema ya que como principio esa era la idea.

Saludos msc!

Mensaje por **msc hotline sat** » 04 Dic 2006, 21:43

Nooooo ! Nunca juegues con fuego o acabaras quemandote !!!

El que podamos corregir las entradas creadas y ficheros gusano respectivos, no quiere decir que no pueda borrar o robar informacion importante, asi que mas vale aparcarlo o eliminarlo pero mo juegues con fuego, que yo ya me quemé en su día...

Si ya estas infectadfo, de lo perdido saca lo que puedas, pero voluntariamente NUNCA.

Y comprobado que la utilidad funciona en lo posible, damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms, 4-12-2006

Archivo sospechoso (SOLUCIONADO)

Archivo sospechoso (SOLUCIONADO)

Muestra

jejeje

Asi es