Setup.exe (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 27 Feb 2007, 12:46

Pues celebramos haberte sido de utilidad, pablodgf, lo que pasa es que el del autor del Tema es un polimorfico que nos va cambiando en cada reinicio, por mas que lo eliminemos...



Estamos a punto de saber si es un downloader o un dropper, y obrar en consecuencia



Ya sabemos impedir que se regenere, dado que el fichero gusano siempre es el SETUP.EXE de C:\ (tras borrarlo, se crea una carpeta con dicho nombre y extension, y asi no se reproduce), pero lo que nos interesa es controlar la madre del cordero, y evitar que siga regenerandolo.



Por cierto, siempre que quiieras postear un log o un txt, hazlo copiando y pegando el contenido, pues agregandolo se pierde la estructira, como puedes ver, y no resulta viable.



y sobre tu log del HJT, vemos que tienes O10 que debes restaurar con LPSFIX:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)







Agradecemos tu intervencion y ha servido para darnos moral y ver que estamos en el buen camino, quizas la gracia es que tu estas en modo seguro y asi no tienes red ni internet... que confirma nuestras sospechas que es un downloader, a ver si lo confirmamos y lo controlamos.



Y esperamos que el autor del tema nos mantenga informados de sus progresos,,,



saludos



ms, 27-02-2007
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 27 Feb 2007, 13:45

Hemos extraido del informe de NOD32 las siguientes detecciones:



setup.exe Win32/Medbot.HF



setup.exe Win32/Medbot.HB



setup.exe Win32/Medbot.GV



setup.exe Win32/Medbot.GM





Lo cual nos lleva a la misma situacion que teniamos con el ELITRIIP, de diferentes SETUP.EXE cada vez que lo eliminabamos.



Visto que el nombre de Medbot es un alias del Backdoor CMQ, ya vemos de donde viene dicho SETUP, pues el metodo de propagacion de dicho backdoor es a traves de red, descargando el virus por carpetas compartidas, tras lo cual su ejecucion genera el conocido SMSS.EXE pero no en la carpeta de sistema sino en C:\%windir%\system (en lugar de system32 que es donde radica el SMSS.EXE del sistema)



Esta variante no parece que cree dicho fichero SMSS, pero el origen puede ser el mismo, llegado de otras maquinas infectadas de la red. Y al igual que el Backdoor CMQ hay tropecientas variantes, que del conocido vamos controlando con el ELITRIIP



Por supuesto que la llegada a la Red puede venir de Internet a traves de P2P, bien por descarga de ficheros o bien por comparticion de carpetas aprovechando la propagacion propia de dicho troyano.



Sirva lo indicado para dar mas luz al problema que cada vez lo tenemos mas cercado :lol:



saludos



ms, 27-02-2007
Arriba
maurirc
Mensajes: 39
Registrado: 09 Feb 2007, 21:03

Mensaje por maurirc » 28 Feb 2007, 11:39

Hola, veo q no estoy solo en esto..

se ve q tiene parientes por todos lados...



como dijo pablo am i tambien se me cambia de icono..

y creo q el virus entro cuando la puse en red con otras maquina en mi lugar de trabajo ( cyber ) despues la traje a mi hogar y no la lleve mas...



el tema es q se sigue regenerando... trataremos de buscar mas gente para ver si pudo eliminarlo o sino para ayudarnos juntos

gracias por su cooperacion+
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 28 Feb 2007, 12:25

Si, pero al otro usuario ya se le ha solucionado



Y no sabiamos que habia estado en un cyber, posiblemente en red con otros, pues lo tendrá en todos, ya tiene mas compañeros.



Como sea que no hemos recibido mas ficheros suyos para analizar, entendemos que habrá bloqueado su creacion con el sistema que le indicamos, y como que no deja de ser un Backdoor CMQ que se ha de ir controlando a medida que van apareciendo variantes (ya llevamos mas de 150 controladas), vaya viendo las mejoras que hacemos en el ELITRIIP que es con el que controlamos este Backdoor y participenos en nuevo Tema al respecto, si descubre algo mas o tiene algun comentario que hacer, pero este ya no es operativo por su tamaño y dado que puede bloquearlo y hemos llegado a entender lo que es, y ya controlado, procedemos a cerrarlo



saludos



ms, 28-02-2007



Nota: Ni memorias USB que use o haya usado alli ni conexion con los ordenadores del Cyber, se transmite por carpetas compartidas y posiblemente esta ultima variante por pendrive
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”