ataque de game666 y nircmd (SOLUCIONADO)

[palomo]

antes que nada un cordial saludo...

pus bien he detectado en varis pendrive algunos virus, uno muy potente a mi parecer, es game666, tine una peculiaridad de ocultarse y ocultar carpetas, otro es el nircmd, los antivirus lo detectan y aparentemente los borarn pero no. y elistara, asi como elipen no los llegan a detectar, por lo que me permiti buscarlos encriptarlos y enviarselos, espero puean ayudar como siempre.



ya que he notado que se esta expandiendo por estos lugares.



en espera de su respuesta o de alguna observacion quedo de ustedes.

agradeciendo de antemano.

[msc hotline sat]

Sí, los virus que se autorpopagan por pendrive estan de moda... pero te aclaro:



Con el ELIPEN lo que conseguimos es que no se propaguen, al impedir la creacion del AUTORUN.INF en los pendrives, pero independientemente del virus que sea, asi que lo que dices que no lo controla... no tiene que controlarlo, simplemente el pendrive vacunado con dicha utilidad, no propagará dicho virus al no poder existir en ellos el fichero que los lanza (AUTORUN.INF)



y el ELISTARA los controlará tan pronto recibamos la muestra y la analicemos. Ya conocemos algun que otro NIRCMD, pero pueden haber infinitas variantes, claro !



Gracias por confiar en nosotros.



saludos



ms, 17-04-2008



NOTA: De hecho el NIRCMD es una herramienta "peligrosa" que mal utilizada puede hacer de todo ! ms.

[palomo]

ciertamente talvez no me explique correctamente, lo que psas es que este virua a logrado atacar esta carpeta, ya les envie las muestras ignoro si ya les llegaron por favor,indiquenme si es correcto el metodo como lo hice y si con esto, de lo contrario los vuelvo a enviar.



saludos y gracias por su respuesta

[msc hotline sat]

Lo veremos tan pronto entremos a trabajar en SATINFO, dentro de unas 3 horas.



Pero si lo hizo como se indica en



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



habrá llegado y se controlará con el ELISTARA de hoy, de lo cual informaremos



saludos



ms, 21-04-2008

[msc hotline sat]

No hemos recibido ningun fichero game666 suyo, pero pasamos a controlar como generic packed (tal como los detecta McAfee) y tool_NIRCMD a unos ficheros que nos envio el viernes, quizas son a los que se refiere.



Vea si el actual ELISTARA los controla , pues los indicados ya se controlaron con la version 16.12, como indicó en:



https://foros.zonavirus.com/viewtopic.php?f=11&t=24446



saludos



ms, 21-04-2008





MOTA:
[quote][b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

[msc hotline sat]

Buscando alguna informacion del game666.exe, vemos que coexiste con el ctfm0n.exe en un virus de pendrive, que podría ser el tuyo, si bien dichos ficheros no nos los has enviado.



Fijate que el ctfm0n.exe en cuestion no es con el del Ofiice , con una O entre la M y la N, sino con un cero 0 , pues mira si lo tienes y envianos los dos si es el caso:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Si los tienes y nos los envias, pasaremos a controlar dichos dos ficheros en la siguiente version del ELISTARA, de lo cual informaremos



saludos



ms, 21-04-2008

[palomo]

ciertamente veo que con estas nuevas versiones del elistar sean eliminado estos virus

por lo que creo que esta solucionado este problema

les agradezco nuevamente su valiosa ayuda y en cuanto se me presenten viruos o lo que se parezca se los enviare..

un hurra nuevamente para ustedes.

[msc hotline sat]

Bien, pero no nos has enviado los ficheros que te pediamos...


[quote]Buscando alguna informacion del game666.exe, vemos que coexiste con el ctfm0n.exe en un virus de pendrive, que podría ser el tuyo, si bien dichos ficheros no nos los has enviado.



Fijate que el ctfm0n.exe en cuestion no es con el del Ofiice , con una O entre la M y la N, sino con un cero 0 , pues mira si lo tienes y envianos los dos si es el caso[/quote]

Si los encuentras, envianoslos igualmente, aunque ya damos por solucionado el Tema, y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 22-04-2008