Virus/Troyano que crea archivos ftpchk3 en los FTPs

[Ary]

Hola,



Un proveedor de hosting nos ha bloqueado la IP por intentar subir a través del FTP un archivo llamado ftpchk3.php que ha definido como "potencialmente peligroso".



En internet no he encontrado gran información pero parece que se trata de un virus/troyano que afecta a algun(os?) programa de FTP (creo que intenta leer los datos de acceso al FTP).



Creo que no es nuestro sistema el que está infectado, y nosotros solo lo habiamos bajado del servidor antiguo y subido al nuevo. De todas formas me gustaría estar seguro...



Alguien tiene más información? Uso el antivirus AVG Free y por ahora no ha detectado nada. Ahora mismo lo tengo haciendo un escaneado completo....



Muchas gracias.

[msc hotline sat]

No hemos tenido incidencias al respecto, pero lance este AV ONLINE y posteenos el informe resultante



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.





saludos



ms, 26-06-2008

[Ary]

Hola,



Antes de todo, muchas gracias por tu respuesta



La direccion del test que me indicabas no me funcionaba, creo que se debe a un error en el código html (en concreto donde pone WEBSITE_PATH en la etiqueta SCRIPT supongo que deberia poner kaspersky.com). De todas formas he entrado en [url=http://www.kaspersky.com/kos/english//kavwebscan.html]la versión en inglés[/url] que si me funciona. Te adjunto el resultdo del test.



He encontrado algo de información: [url=http://www.smartftp.com/forums/Password-encryption-t14070.html]En esta dirección[/url] comentan que puede ser una variante de Beagle que lee las contraseñas de las cuentas de FTP del programa SmartFTP. Yo uso el programa CuteFTP, que me imagino que tambien puede estar afectado (aunque no lo he visto en ningún lado).



Muchas gracias de nuevo, y espero tu respuesta.

[msc hotline sat]

Pues pulsan boton derecho en el link que te daba y mirando en PROPIEDADES, apunta correctamente a: https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



pero en fin... voy a ver el que has obtenido por otro medio:

[msc hotline sat]

Los informes mejor pegarlos en el post , para facilitar su vision:



KASPERSKY ONLINE SCANNER REPORT

Friday, June 27, 2008 1:48:01 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 27/06/2008

Kaspersky Anti-Virus database records: 888160





Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true



Scan Target My Computer

C:\

D:\



Scan Statistics

Total number of scanned objects 119371

Number of viruses found 2

Number of infected objects 5

Number of suspicious objects 2

Duration of the scan process 02:27:07



Infected Object Name Virus Name Last Action

C:\Archivos de programa\Passware\ariskkey.dll Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped



C:\Archivos de programa\Passware\ariskkey.exe Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\emc\Log\emc.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgcore.log.1 Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avglng.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgrs.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgsched.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgui.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\avg8\Log\avgwd.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuraci�n local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuraci�n local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuraci�n local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\LocalService\Configuraci�n local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\Configuraci�n local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Configuraci�n local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Configuraci�n local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\Configuraci�n local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Datos de programa\Identities\{A014DEAD-D892-4492-BDE0-AF3777000518}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Datos de programa\Identities\{A014DEAD-D892-4492-BDE0-AF3777000518}\Microsoft\Outlook Express\Hotmail - Bandeja de entrada (1).dbx Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Datos de programa\Identities\{A014DEAD-D892-4492-BDE0-AF3777000518}\Microsoft\Outlook Express\Hotmail - Bandeja de entrada.dbx/[From CajaMadrid ][Date Thu, 03 Aug 2006 10:46:26 +0100]/html Suspicious: Trojan-Spy.HTML.Fraud.gen skipped



C:\Documents and Settings\Urko\Configuraci�n local\Datos de programa\Identities\{A014DEAD-D892-4492-BDE0-AF3777000518}\Microsoft\Outlook Express\Hotmail - Bandeja de entrada.dbx MailMSOutlook5: suspicious - 1 skipped



C:\Documents and Settings\Urko\Configuraci�n local\Datos de programa\Identities\{A014DEAD-D892-4492-BDE0-AF3777000518}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Historial\History.IE5\MSHist012008062720080628\index.dat Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\ajaxpage.000 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\Edit.028 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\es.002 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\ficha.002 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\formulario.002 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\funciones.003 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\imprimir.000 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\index.052 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\index.053 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\index.054 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\init.003 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\login.007 Object is locked skipped



C:\Documents and Settings\Urko\Configuraci�n local\Temp\urko.004 Object is locked skipped



C:\Documents and Settings\Urko\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\Urko\Escritorio\Instalar\ariskkey.exe/data0002 Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped



C:\Documents and Settings\Urko\Escritorio\Instalar\ariskkey.exe/data0003 Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped



C:\Documents and Settings\Urko\Escritorio\Instalar\ariskkey.exe NSIS: infected - 2 skipped



C:\Documents and Settings\Urko\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\Urko\ntuser.dat.LOG Object is locked skipped



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped



C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped



C:\WINDOWS\SchedLgU.Txt Object is locked skipped



C:\WINDOWS\SoftwareDistribution\EventCache\{773CEEB7-A8E5-4ACB-80D7-00B5DFFF3C4A}.bin Object is locked skipped



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\default Object is locked skipped



C:\WINDOWS\system32\config\default.LOG Object is locked skipped



C:\WINDOWS\system32\config\SAM Object is locked skipped



C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\SECURITY Object is locked skipped



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped



C:\WINDOWS\system32\config\software Object is locked skipped



C:\WINDOWS\system32\config\software.LOG Object is locked skipped



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\system Object is locked skipped



C:\WINDOWS\system32\config\system.LOG Object is locked skipped



C:\WINDOWS\system32\h323log.txt Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped



C:\WINDOWS\WindowsUpdate.log Object is locked skipped



Scan process completed.









_____________________



Pues bien, en este vemos:



C:\Archivos de programa\Passware\ariskkey.dll Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped



C:\Archivos de programa\Passware\ariskkey.exe Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped





C:\Documents and Settings\Urko\Escritorio\Instalar\ariskkey.exe/data0002 Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped



C:\Documents and Settings\Urko\Escritorio\Instalar\ariskkey.exe/data0003 Infected: not-a-virus:PSWTool.Win32.Aster.55 skipped



C:\Documents and Settings\Urko\Escritorio\Instalar\ariskkey.exe NSIS: infected - 2 skipped





Envianos pues estos dos ficheros :

[b][i]

C:\Archivos de programa\Passware\ariskkey.dll



C:\Documents and Settings\Urko\Escritorio\Instalar\ariskkey.exe[/i][/b]



y los analizaremos e informaremos al respecto



Para ello recordar:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 27-06-2008





NOTA : Ver http://www.symantec.com/security_response/writeup.jsp?docid=2004-111015-4633-99&tabid=2



y de Bagle nada de nada, lo sacó de un foro que decían que le sonaba a algo como eso ... buenooooo !

[Ary]

Muchas gracias,



Ya os he enviado los archivos. Solo decir que parecen que pertenecen al programa "Asterisk Key" que uso para recuperar contraseñas (trabajo programando webs y es imposible no perder alguna). Lo que no sé es si es de fiar, aunque llevo usándolo más de 2 años sin problemas. Voy a buscar si encuentro algo en google...



Saludos,

Urko Benito

[msc hotline sat]

Pues mira esta información al respecto...



http://spyware.adslnet.es/genera.php?processfile=un-ariskkey.exe&dir=u&pag=5



Tras recibir las muestras solicitadas, las analizaremos e informaremos



saludos



ms, 30-06-2008

[msc hotline sat]

Pues pasamos a considerar las muestras enviadas como aplicaciones potencialmente peligrosas PWSTOOL y las controlaremos a partir de la version de hoy del ELISTARA 16.61



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 1 de Julio de 2008



NOTAS:



http://www.virustotal.com/analisis/77d1401d8691cb50bb2114a11fd27ea2

http://www.virustotal.com/analisis/011babcd6fb57f6fb4f5ecdc094ccc16