VIRUS!!! (SOLUCIONADO)

[Annatar]

Tengo este virus, que hago??



Norton Antivirus Online

C:\WINDOWS\9129837.exe is infected with Infostealer.Snifula.B

Mcafee Online

C:\WINDOWS\9129837.exe Spy-Agent.bg



Que puedo hacer???? como lo quito???



Gracias x adelantado.



PD: El Spybot tambien me lo detecta pero no lo quita.

[maxgm]

Lanzate el elistara.



Esta en DOWNLOAD

[Annatar]

Resultados:





Sun Dec 03 15:14:16 2006

EliStartPage v12.83 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\9129837.EXE.Muestra EliStartPage v12.83

a "virus@satinfo.es". Gracias.

C:\WINDOWS\9129837.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



He Mandado las muestras ya.

Ha esta dirección: zonavirus@satinfo.es



Cual es el siguiente paso?? Me descargo la proxima versión del elistara y lo paso de nuevo???



Espero sus respuestas.

[msc hotline sat]

De momento el fichero gusano ha sido movido a cuaretena y tras rein¡ciar ya estará fuera de circulacion



Ahora envianos la muestra que te pedimos:



"Por favor, envienos una muestra del fichero

C:\Muestras\9129837.EXE.Muestra EliStartPage v12.83 "





y lo analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos



recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 3-12-2006



nota: informacion al respecto http://www.avira.com/es/threats/section/fulldetails/id_vir/2867/tr_psw.small.bs.3.html

[Annatar]

Problema, el ordenador no produce ahora sonido por los altavoces.



Creo que es del virus porque todo iva bien antes

[msc hotline sat]

Mucho cuidado con él !!! Es robapaswords y backdoor de control remoto teniendo como servidor de destino uno de San Petesburgo, Rusia :



81.95.147.107 RU Russian Federation 66 Saint Petersburg City Saint Petersburg 59.8944 30.2642 Too coin Software Limited Russian Business Network



Se recomienda obrar en consecuencia para lo que pueda haber hecho, segun para lo que se usaba el ordenador... Si se hicieron pagos o accesos a cuentas bancarias con contraseña, cambiar urtentemente passwords y numeros de cuenta !!!




[quote="extraido de la descripcion de AVIRA, que"]
TR/PSW.Small.BS.3





Nombre: TR/PSW.Small.BS.3

Descubierto: 12/09/2006

Tipo: Troyano

En circulación (ITW): Sí

Número de infecciones comunicadas: Bajo

Potencial de propagación: Bajo

Potencial dañino: Medio

Fichero estático: Sí

Tamaño: 24.236 Bytes

Suma de control MD5: 782aa60074ea0620b2c974bf9f17507a

Versión del VDF: 6.35.01.216

Versión del IVDF: 6.35.01.220



General Método de propagación:

• No tiene rutina propia de propagación





Alias:

[b] • Mcafee: Spy-Agent.bg [/b]





Plataformas / Sistemas operativos:

• Windows 98

• Windows 98 SE

• Windows NT

• Windows ME

• Windows 2000

• Windows XP

• Windows 2003





[b]---->[/b] Efectos secundarios:

• Suelta un fichero dañino

• Reduce las opciones de seguridad

• Modificaciones en el registro

• Roba informaciones

• Posibilita el acceso no autorizado al ordenador



Ficheros Se copia a sí mismo en la siguiente ubicación:

• %WINDIR%\9129837.exe







Elimina la copia inicial del virus.







Crea el siguiente fichero:



– %WINDIR%\hide_evr2.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Small.BS.3



Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:



– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

• ttool = %WINDIR%\9129837.exe







Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:



– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]

• Type = 1

• Start = 3

• ErrorControl = 0

• ImagePath = \??\%WINDIR%\hide_evr2.sys

• DisplayName = !!!!



– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]

• Security = %valores hex%



– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]

• 0 = Root\LEGACY_HIDE_EVR2\0000

• Count = 1

• NextInstance = 1







Añade la siguiente clave al registro:



– [HKCU\Software\Microsoft\InetData]

• k1 = %número hexadecimal%

• k2 = %número hexadecimal%







Modifica la siguiente clave del registro:



Desactiva el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]

Valor anterior:

• Start = %configuración definida por el usuario%

Nuevo valor:

• Start = 4



Finalización de los procesos Desactiva el siguiente servicio:

• Security Center







[b]---->[/b] Backdoor (Puerta trasera) Abre el siguiente puerto:



– %WINDIR%\9129837.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 5,





Servidor contactado:

Las siguientes:

• http://81.95.147.107/cgi-bin/**********

• http://81.95.147.107/cgi-bin/**********

• http://81.95.147.107/cgi-bin/**********

• http://81.95.147.107/cgi-bin/**********

• http://81.95.147.107/cgi-bin/**********



De esta forma, puede enviar informaciones y obtener el control remoto.



Envía informaciones acerca de:

• Contraseñas guardadas

• Puerto abierto

• Las informaciones recolectadas, descritas en la sección





Capabilidades de control remoto:

• Descargar fichero

• Ejecutar fichero



Robo de informaciones Intenta robar las siguientes informaciones:

– Contraseñas tipeadas en los campos de contraseñas

– Contraseñas guardadas, empleadas por la función AutoComplete









[b]---->[/b] Robo de informaciones Intenta robar las siguientes informaciones:

– Contraseñas tipeadas en los campos de contraseñas

– Contraseñas guardadas, empleadas por la función AutoComplete





etc !


[/quote]

ms,

[msc hotline sat]

Y como que usa tecnologia RootKit, arrancar en modo seguro y buscar este fichero y renombrarlo a .VIR: C:\windows\hide_evr2.sys



y tras renombrarlo y reiniciar, enviarnoslo para su analisis y control !!!




[quote="informacion de AVIRA sobre el RootKit"]
Tecnología Rootkit Oculta las siguientes:

– Su propio proceso



– Los siguientes ficheros:

• 9129837.exe

• hide_evr2.sys



– El siguiente valor del registro:

• ttool





Método empleado:

• Oculto en Windows API



Engancha las siguientes funciones API:

• NtEnumerateValueKey / ZwEnumerateValueKey

• NtQueryDirectoryFile / ZwQueryDirectoryFile

• NtQuerySystemInformation / RtlGetNativeSystemInformation


[/quote]

[b]NO ES CUESTION DE PERDER NI UN MINUTO !!![/b] No es ninguna broma ni inocentada, :roll:



He prestado mas atencion de lo normal a este Tema a medida que iba encontrando informacion, y solo añadir que se han detectado transferencias de dinero a bancos de zona Rusa debido a este tipo de ladrones , oido al parche !



Suerte !



saludos



ms, 3-12-2006

[Annatar]

Bien ya he mandado las muestras paso a renombrar el fichero que me has pedido y ha mandarlo ya!



Gracias

[msc hotline sat]

Muy bien, asi estará ya bloqueado pero, trabajabas con él a nivel de bancos y compras por internet ??? ...



ms

[Annatar]

NO por suerte no, en mi casa no nos fiamos de hacer transferencias por bancos ni transacciones por esto que me acaba de ocurrir.



Lo que no se si hace ya algún tiempo mi hermano compró algo por internet.



Por lo demás no trabajamos con bancos ni hacemos movimiento de dineros ni datos personales, todo lo contrario.



Acabo de buscar el fichero C:\windows\hide_evr2.sys y no lo tengo por ningún sitio.



En las muestras solo está este: 9129837.EXE yu ya está aparcado y mandada la muestra.



Muchas gracias por tu ayuda. Que hago con el archivo que no encuetro??



Saludos



PD: ya me va el sonido (no lo tengamos en cuenta, era un pego que ha coincidido con el virus)

[msc hotline sat]

Lo del sonido podia deberse al virus, y una vez aparcado, listos



Lo del fichero puede estar oculto. Configura bert ocultos y de sistema y sobre todo arranca en modo seguro, que es un rootkit !



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y celebro que no tenga consecuencias... pero que sirva de aviso al foro !



saludos



ms, 3-12-2006

[msc hotline sat]

Como respuetsa a otro Tema, el autor de éste posteo por error:


[quote="Annatar"]
Annatar

Usuario







Registrado: 20 Sep 2006

Mensajes: 26



Publicado: Dom Dic 03, 2006 6:35 pm Título del mensaje:



--------------------------------------------------------------------------------



ya veo los archivos ocultos, procedo a reiniciar, busco y posteo a continuación.



Taora
[/quote]

El otro se ha eliminado, claro



ms,

[Annatar]

Saludos de nuevo:



Me he equivocado en el posteo de antes, lo siento.



Bien no he encontrado nada de nada del archivo "hide_evr2.sys" no se donde se ha podido meter, he seguido tus pasos y no doy con el por ningún sitio,he utilizado la busqueda de windows y tambien manualmente y nada.



No se me ocurre que hacer para encntrarlo ya.

a lo mejor no está al haber quitado el otro no??



No se la verdad. Existe algún programa de búsqueda más exahustivo que lo detecte??



Espero tu respuesta.

[msc hotline sat]

No, mas bien cabria que el antivirus lo hubiera detectado y eliminado, porque se generan los dos, pero este se detecta como otra cosa:



"Crea el siguiente fichero:



– %WINDIR%\hide_evr2.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Small.BS.3 "



Por ello pienso que ya puede haberlo eliminado antes



saludos



ms, 3-12-2006

[Annatar]

Muchas gracias, de momento me mantengo a la espera del nuevo elistara que me elimine las muestras.



Gracias por su ayuda.

[msc hotline sat]

Por cierto, recibistes quizas este Spam ???



http://www.vsantivirus.com/small-nbx.htm



porque sería la razon...

[Annatar]

Pues se introdujo por un archivo p2p el virus, no fue a través de correo spam, pero ya lo se por si me encuentro el spam ese.



Gracias

[msc hotline sat]

Ya se comentó en el foro en su momento:



https://foros.zonavirus.com/spam-informando-falso-suicidio-de-vfox-de-mexico-genera-pws-vt13577.html?highlight=fox



pero si fue por P2P es mas de lo mismo



saludos



ms, 3-12-2006

[Annatar]

Para cuando sale la versión 12.84 de elistara??? mañana??



Por saberlo más o menos.



Gracias

[msc hotline sat]

La tengo a punto, pero no he tenido tiempo de ello. Voy a hacerlo, que si no me pongo a ello, no lo hago



ms

[Annatar]

No te interrumpo más, tio a ti te pagan?? porque resuelves muchos problemas y no paras en el foro!!! Es de agradecer la verdad, no sabes de los apuros que sacas a más de uno.(me incluyo)



Más quisiera tener tiempo para hacer lo que tu haces u otras cosas. No me canso de darte la enhorabuena por el foro.



Saludos

[msc hotline sat]

Hay cosas que no se pagan con dinero :lol:



y ya tienes lo que pediste :



https://foros.zonavirus.com/viewtopic.php?p=75726#75726



saludos



ms, 3-12-2006



nota: y gracias por la enhorabuena por el foro, pero solo soy un colaborador, el director general y dueño del mismo es ADMIN, D. José Carlos Mejias Arenas, quien en su dia, a raiz de un CIH, tuvo la feliz idea de crearlo y mantenerlo, que no es moco de pavo :roll: ! ms.

[Annatar]

Muchisimas gracias la verdad.



Si por casualidad alguna vez puedo ayudar por aquí andaré o solicitamelo por mail.



Gracias por todo.

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 3-12-2006

[msc hotline sat]

Nota Postcierre:



No se ha recibido el fichero de marras 9129837.EXE para poder implementar su control y eliminacion en nuestras utilidades



Posiblemente habra sido interceptado por algun servidor web en el camino, por lo cual conviene que repitas el envio pero previamente empaqueta el fichero en un ZIP con password VIRUS y asi no serña detectado, gracias



saludos



ms, 4-12-2006



Reabro este Tema por si quieres decirnos algo. ms.

[Annatar]

Pues no está en mi ordenador ya!?!?!



Lo mandé en un rar sin contraseña.



que hago??



Gracias y perdón por el retraso de contestar.

[msc hotline sat]

Mejor vuelvalo a enviar con contraseña VIRUS, para poder proceder a eliminar claves y demas restos



saludos



ms, 8-12-2006