Virtumonde (SOLUCIONADO)

[Omega77]

Tengo problemas con este spyware, kaspersky no lo detecta, spybot lo detecto al principio y parecio controlarlo, pero despues de reiniciar regreso.
Analise con Panda Online y me salió esto:
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================

Código: Seleccionar todo

00380583  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\eparxigu.dll
00380583  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\axctpkxn.dll
00380583  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\moxvjhjm.dll
00380583  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\vysrjcak.dll
00383571  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\piiamkqf.dll
00383571  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\nnnuik.dll
00383571  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\elzfbs.dll
00383571  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\jegkniwy.dll
00383571  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\jxknhp.dll
00383571  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\vjolfont.dll
03680449  Spyware/Virtumonde                 Spyware             Yes       2         Yes            No           C:\Windows\System32\jkhhej.dll
03680449  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\jpmocpsm.dll
03722416  Spyware/Virtumonde                 Spyware             No        1         Yes            No           C:\Windows\System32\lotssggd.dll

Despues consulte este foro y utilize la herramienta Elistara y he aqui el reporte:


Sat Sep 20 19:01:37 2008
EliStartPage v17.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "BM44c140dc"="Rundll32.exe "C:\Windows\system32\lotssggd.dll",s" (Vundo)
C:\WINDOWS\SYSTEM32\LOTSSGGD.DLL.VIR --> Eliminado.
Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"
                 "Debugger"="NULL1"
No ha sido posible abrir IERESET.INF
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Sep 20 19:02:07 2008
EliStartPage v17.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\HP\QuickPlay\QT3SUPPORT4.DLL --> Eliminado, ISTBar
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)
C:\ProgramData\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)
C:\Users\All Users\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)

Nº Total de Directorios:   27715
Nº Total de Ficheros:      218060
Nº de Ficheros Analizados: 71133
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados:  1

	  Sat Sep 20 19:46:24 2008
EliStartPage v17.00  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   438
Nº Total de Ficheros:      9904
Nº de Ficheros Analizados: 772
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Elimine los archivos que Panda marco como infectados, eso es todo lo que se necesita para eliminar este espia o es necesario hacer otra cosa????. Envio muestras de los dll y un archivo que EliStart marco

Saludos y gracias

[msc hotline sat]

Te pedía que reiniciaras: "(Reiniciar para Completar la Limpieza)"
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)
C:\ProgramData\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)
C:\Users\All Users\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)

No vemos que lo hayas hecho, ya que despues de ello no hay ningun otro analisis del ELISTARA por Acción Directa, y consecuentemente no sabemos el final del proceso, pero si lanzando de nuevo persiste dicha deteccion de este fichero MZVKBD.DLL indicando lo mismo, arranca con el CD de instalacion, pulsa R para entrar en consola de recuperacion y escribes:

COPY  C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\MZVKBD.DLL   C:\

Tras ello reinicias normalmente y tendrás acceso a este fichero  C:\MZVKBD.DLL, y nos lo envias para analizar indicando falso positivo, pues viendo que es del Kaspersky podría ser un falso positivo que conviene corregir.


Tras ello vuelve a pasar el Panda, a ver si persiste alguna deteccion o ya no, y si tras ello tienes alguna anomalia de comportamiento, nos lo indicas, gracias.

saludos
ms, 21-09-2008

NOTA: Y si con el Panda ves que se han regenerado los ficheros que borraste, en lugar de volverlos a borrar, renombra su extension a .vir y nos los envias para analizar:
¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

ms.

[Omega77]

El log mostrado es el realizado despues de un reinicio



Aqui esta el nuevo escaneo con Panda

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

03680449 Spyware/Virtumonde Spyware No 1 Yes No C:\Windows\System32\wkdxrbtq.obr



El ultimo escaneo con elistara

Sun Sep 21 09:09:11 2008

EliStartPage v17.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Sep 21 09:10:18 2008

EliStartPage v17.00 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 19 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\MZVKBD.VIR --> Eliminado, AdWare.Agent.BN

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)

C:\ProgramData\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)

C:\Users\All Users\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.357\MZVKBD.DLL --> Acceso Denegado, AdWare.Agent.BN (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 27719

Nº Total de Ficheros: 218083

Nº de Ficheros Analizados: 71149

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues ya que el Panda te encuentra aun este sospechoso:



C:\Windows\System32\wkdxrbtq.obr



envianoslo para analizar, por separado del que te pedíamos de kaspersky:



C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\MZVKBD.DLL



ya que este último mas bien es un POSIBLE FALSO POSITIVO que se ha de tratar como tal, por lo que te pedimos lo especifiques bien grande en el mail en el que nos lo anexes, gracias



saludos



ms, 21-09-2008

[Omega77]

A que correo he de mandar las muestras o lo hago con el boton de "envio muestras". Cual contraseña es la que el archivo debe tener

[lucl]

Envialo siguiendo las instrucciones del link siguiente



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ahi te dice la contraseña que debes poner y todo, saludos

[Omega77]

[quote="msc hotline sat"]Pues ya que el Panda te encuentra aun este sospechoso:



C:\Windows\System32\wkdxrbtq.obr
[/quote]

Muestra enviada, archivo: muestra_virtumonde.zip
[quote="msc hotline sat"]envianoslo para analizar, por separado del que te pedíamos de kaspersky:



C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\MZVKBD.DLL



ya que este último mas bien es un POSIBLE FALSO POSITIVO que se ha de tratar como tal, por lo que te pedimos lo especifiques bien grande en el mail en el que nos lo anexes, gracias



saludos



ms, 21-09-2008[/quote]
Muestra enviada, archivo:muestra_kaspersky.zip



Tambien enviada una muestra extra solicitada por Elistar

LOTSSGGD.DLL.Muestra EliStartPage v17.zip



El pass de los tres es virus

No pude mandar correo electronico asi que lo hice por el boton

Saludos

[msc hotline sat]

Pues mañana veremos si los hemos recibido y procederemos a analizarlos y controlarlos con las proximas versiones de nuestras utilidades, de lo cual informaremos



saludos



ms, 21-09-2008

[msc hotline sat]

Recibido y en proceso de monitorizacion.



De entrada corregimos la clave de deteccion de Agent BN para que no detecte este falso positivo de Kaspersky, lo cual ocurre en las mejores familias :wink:



En la version de hoy 17.01 ya se controlará el Agent BN con otra cadena que siga detectando al troyano, pero no pique con el driver de Kaspersky. Cuando lo haya descargado (a partir de las 19 h GMT) , reinstale el kaspersky y vea que ya no le detecta vírico el fichero MZVKBD.DLL



Las demas muestras son de VUNDO no controlados por kaspersky todavía, como:


[quote]File ipywccqg.vll received on 09.22.2008 05:53:53 (CET)

Current status: finished



Result: 19/36 (52.78%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.9.19.2 2008.09.22 Win-Trojan/Vundo.99328.C

AntiVir 7.8.1.34 2008.09.21 TR/Vundo.FKW.3

Authentium 5.1.0.4 2008.09.21 -

Avast 4.8.1195.0 2008.09.22 Win32:Trojan-gen {Other}

AVG 8.0.0.161 2008.09.21 -

BitDefender 7.2 2008.09.22 Trojan.Vundo.FKW

CAT-QuickHeal 9.50 2008.09.20 -

ClamAV 0.93.1 2008.09.22 -

DrWeb 4.44.0.09170 2008.09.21 Trojan.Virtumod.450

eSafe 7.0.17.0 2008.09.21 Suspicious File

eTrust-Vet 31.6.6098 2008.09.21 Win32/Vundo.AXM

Ewido 4.0 2008.09.21 -

F-Prot 4.4.4.56 2008.09.21 -

F-Secure 8.0.14332.0 2008.09.22 -

Fortinet 3.113.0.0 2008.09.21 PossibleThreat

GData 19 2008.09.22 Win32:Trojan-gen

Ikarus T3.1.1.34.0 2008.09.22 Trojan.Vundo.FKW

K7AntiVirus 7.10.466 2008.09.20 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2008.09.22 -

McAfee 5388 2008.09.19 Generic.dx

Microsoft 1.3903 2008.09.22 -

NOD32v2 3458 2008.09.21 -

Norman 5.80.02 2008.09.19 W32/Vundo.gen285

Panda 9.0.0.4 2008.09.21 -

PCTools 4.4.2.0 2008.09.21 -

Prevx1 V2 2008.09.22 Fraudulent Security Program

Rising 20.63.00.00 2008.09.22 Packer.Win32.Agent.v

Sophos 4.33.0 2008.09.22 Troj/Virtum-Gen

Sunbelt 3.1.1653.1 2008.09.20 -

Symantec 10 2008.09.22 Trojan.Vundo

TheHacker 6.3.0.9.090 2008.09.20 -

TrendMicro 8.700.0.1004 2008.09.22 TROJ_VUNDO.LP

VBA32 3.12.8.5 2008.09.22 -

ViRobot 2008.9.22.1386 2008.09.22 -

VirusBuster 4.5.11.0 2008.09.21 -

Webwasher-Gateway 6.6.2 2008.09.22 Trojan.Vundo.FKW.3

Additional information

File size: 99328 bytes

MD5...: 4b8e92607a088a06a5f712f64ad9be77 [/quote]

o este otro :


[quote]File yuqfqnyr.dl received on 09.18.2008 13:59:44 (CET)

Current status: finished



Result: 12/36 (33.33%)

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2008.9.13.0 2008.09.18 -

AntiVir 7.8.1.28 2008.09.18 TR/Vundo.flg.6

Authentium 5.1.0.4 2008.09.18 -

Avast 4.8.1195.0 2008.09.17 -

AVG 8.0.0.161 2008.09.18 -

BitDefender 7.2 2008.09.18 Trojan.Vundo.FLG

CAT-QuickHeal 9.50 2008.09.17 -

ClamAV 0.93.1 2008.09.18 -

DrWeb 4.44.0.09170 2008.09.18 -

eSafe 7.0.17.0 2008.09.17 -

eTrust-Vet 31.6.6091 2008.09.16 Win32/VundoCryptorT!Generic

Ewido 4.0 2008.09.18 -

F-Prot 4.4.4.56 2008.09.18 -

F-Secure 8.0.14332.0 2008.09.18 -

Fortinet 3.113.0.0 2008.09.18 -

GData 19 2008.09.18 -

Ikarus T3.1.1.34.0 2008.09.18 Trojan.Win32.Vundo.R

K7AntiVirus 7.10.460 2008.09.17 -

Kaspersky 7.0.0.125 2008.09.18 -

McAfee 5386 2008.09.17 Vundo

Microsoft 1.3903 2008.09.18 Trojan:Win32/Vundo.gen!R

NOD32v2 3451 2008.09.18 -

Norman 5.80.02 2008.09.17 -

Panda 9.0.0.4 2008.09.18 -

PCTools 4.4.2.0 2008.09.17 -

Prevx1 V2 2008.09.18 Cloaked Malware

Rising 20.62.32.00 2008.09.18 Packer.Win32.Agent.v

Sophos 4.33.0 2008.09.18 Troj/Virtum-Gen

Sunbelt 3.1.1645.1 2008.09.17 -

Symantec 10 2008.09.18 Trojan.Vundo

TheHacker 6.3.0.9.086 2008.09.18 -

TrendMicro 8.700.0.1004 2008.09.18 PAK_Generic.001

VBA32 3.12.8.5 2008.09.17 -

ViRobot 2008.9.18.1381 2008.09.18 -

VirusBuster 4.5.11.0 2008.09.17 -

Webwasher-Gateway 6.6.2 2008.09.18 Trojan.Vundo.flg.6 [/quote]

o el que ya le detectaba como sospechoso el ELISTARA:


[quote]File LOTSSGGD.DLL.Muestra_EliStartPage received on 09.22.2008 11:06:04 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 19/36 (52.78%)



Antivirus Version Last Update Result

AhnLab-V3 2008.9.19.2 2008.09.22 Win-Trojan/Vundo.99328.C

AntiVir 7.8.1.34 2008.09.22 TR/Vundo.FKW.3

Authentium 5.1.0.4 2008.09.21 -

Avast 4.8.1195.0 2008.09.22 Win32:Trojan-gen {Other}

AVG 8.0.0.161 2008.09.21 -

BitDefender 7.2 2008.09.22 Trojan.Vundo.FKW

CAT-QuickHeal 9.50 2008.09.20 -

ClamAV 0.93.1 2008.09.22 -

DrWeb 4.44.0.09170 2008.09.21 Trojan.Virtumod.450

eSafe 7.0.17.0 2008.09.21 Suspicious File

eTrust-Vet 31.6.6099 2008.09.22 Win32/Vundo.AXM

Ewido 4.0 2008.09.21 -

F-Prot 4.4.4.56 2008.09.21 -

F-Secure 8.0.14332.0 2008.09.22 -

Fortinet 3.113.0.0 2008.09.22 PossibleThreat

GData 19 2008.09.22 Trojan.Vundo.FKW

Ikarus T3.1.1.34.0 2008.09.22 Trojan.Vundo.FKW

K7AntiVirus 7.10.466 2008.09.20 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2008.09.22 -

McAfee 5388 2008.09.19 Generic.dx

Microsoft 1.3903 2008.09.22 -

NOD32v2 3459 2008.09.22 -

Norman 5.80.02 2008.09.19 W32/Vundo.gen285

Panda 9.0.0.4 2008.09.22 -

PCTools 4.4.2.0 2008.09.21 -

Prevx1 V2 2008.09.22 Fraudulent Security Program

Rising 20.63.01.00 2008.09.22 Packer.Win32.Agent.v

Sophos 4.33.0 2008.09.22 Troj/Virtum-Gen

Sunbelt 3.1.1653.1 2008.09.20 -

Symantec 10 2008.09.22 Trojan.Vundo

TheHacker 6.3.0.9.090 2008.09.20 -

TrendMicro 8.700.0.1004 2008.09.22 TROJ_VUNDO.LP

VBA32 3.12.8.5 2008.09.22 -

ViRobot 2008.9.22.1387 2008.09.22 -

VirusBuster 4.5.11.0 2008.09.21 -

Webwasher-Gateway 6.6.2 2008.09.22 Trojan.Vundo.FKW.3

Additional information

File size: 99328 bytes

MD5...: 4b8e92607a088a06a5f712f64ad9be77 [/quote]

y vemos que no solo no lo detecta kaspersky, sino tampoco ni NOD32 ni Panda, solo McAfee :wink: , pero a veces es al reves, porque siempre ha de haber un primero que lo detecte...



Bueno, iremos implementando su control y eliminacion en el ELISTARA 17.01 de hoy que estará disponible para evaluacion en esta web a partir de las 19 h de hoy



Tras probarlo, reinicie y posteenos el c:\infosat.txt, gracias



saludos



ms, 22-09-2008

[Omega77]

Pase el panda y no me detecta nada y Elistar tampoco, asi que el problema me parece que ya esta solucionado, Saludos y muchas gracias, ya estaba pensando en formatear la maquina antes de encontrar este foro



Saludos



Aqui esta el ultimo analisis con EliStartPage v17.02

Tue Sep 23 10:17:35 2008

EliStartPage v17.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"



Tue Sep 23 10:17:58 2008

EliStartPage v17.02 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\LOTSSGGD.DLL.MUESTRA ELISTARTPAGE V17.00 --> Eliminado, Vundo5



Nº Total de Directorios: 27547

Nº Total de Ficheros: 217185

Nº de Ficheros Analizados: 70889

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms,