Virus - Actualizaciones de antivirus, windows update y más- ¿Win32/Conficker.B?

[NickNack]

Buenas;



Ante todo agradecer la fantastica labor que se hace en este foro, que más de una vez me ha sacado de un apuro.



Comencemos pues, si os parece.





Ultimamente estoy viendo por este foro y por otros foros relacionados con el tema, bastantes quejas sobre: [u]mi antivirus no se actualiza, no puedo acceder a windows update, google me redirecciona a webs que no toca..[/u] y una sinfín de problemas relacionados con esto.



Estoy sufriendo el mismo problema, y, indagando un poco he dado con el "sospechoso". Creo que se trata de el [b]Win32/Conficker.B[/b], o por lo menos los sintomas que yo estoy padeciendo y más de un usuario tambien se ajustan mucho a la descripcion de este gusano.



[u]Sintomas:[/u]



- No te actualiza ningún antivirus

- Google te redirecciona a paginas extrañas (Speed download, Click per Pay..)

- No puedes usar el windows update

[...]



Link de info: http://www.microsoft.com/en/us/default.aspxsecurity/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B



A ver si me podeis ayudar, os dejo una breve explicacion de todo lo que he probado:



- ELITRIIP, ELIBAGLA y ELISTARA. (Una detección por parte del ELISTARA, desinfectada, pero el problema persiste)



- CCLeaner (Sin resultado)



- MalwareBytes (Una detección relacionada con:

Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. )



- Instalacion de la actualización crítica de Windows (WindowsXP-KB921883-x86-ESN) relacionada con esto.



- F-Secure (Version ejecutable para Modo a prueba de errores)



- DelPSGuard v 5.0.0 (Con la siguiente notificación:
[quote]»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»



Problemas con la eliminacion C:\autorun.inf



»»»»»»»»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»»»»»» [/quote]

- Dr Web (No me ha detectado nada)



Hasta aquí lo que he probado sin resultado alguno. También comentar que usowindows XP SP2, me faltan bastantes actualizaciones críticas la verdad (He probado a updatear, pero me es imposible ya que el virus no me deja ir a Windows Update (me redirecciona a google).



Otra nota a tomar en cuenta es que es imposible tanto actualizar NINGUN antivirus, como usarlo ONLINE (da error al descargar las bases de virus actualizadas.)



Tambien me parece curioso y a destacar que cuando buscas en google al bicho, te sale esto: http://img262.imageshack.us/img262/3590/googgh2.png



Actualizado: Buscando he encontrado otro que PODRIA ajustarse a mis sintomas -> TrojanProxy.Lager.AQ.



+Info: http://www.vsantivirus.com/trojanproxy-lager-aq.htm



¿Alguna idea?



Muchisimas gracias de antemano y un saludo.

[msc hotline sat]

Sí, el Conficker es uno de los cientos de miles que desactivan los antivirus y demás, pero si ha hecho caso a lo que vamos diciendo y ya en Octubre instaló el parche MS08-067, y tiene los ordenadores y pendrives vacunados con el ELIPEN, y las contraseñas de comparticiones administrativas suficientemente "duras" (mayusculas, minusculas y numeros mezclados) no le habrá afectado.



Pero si como algunos usuarios, no tiene actualizados los parches ... vaya leyendo el articulo que hicimos al respecto:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp



saludos



ms, 18-2-2009

[NickNack]

He seguido los pasos que me has indicado en al link que has puesto, ejecutando el USB445 y nada.



¿Podria ser por la clave de mi cuenta de administrador? Es un PC privado, por lo que no tiene.



Un Saludo y muchas gracias.

[msc hotline sat]

Si no tiene clave mas facil se lo pone a los virus !!!



Y si no le ha entrado, tanto mejor, pero no se confie... Microsoft anuncia que han sido afectados unos 10 millones de PC por este virus...



Y si tiene anomalias en general, aparte de su antivirus puede probar las tres herramientas estrella:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELIBAGLA: [/b]

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]

y lancelas arrancando en modo seguro, si puede.



saludos



ms, 18-2-2009

[NickNack]

Perdón por el retraso en mi respuesta. Aun no he podido probarlo en casa localmente, pero vamos, como te comente ya los he pasado, y el únicpo que me detecto algo fue el ELISTARA, que lo eliminó correctamente.



El resto no me detecta nada, pero de todas maneras, ahora cuando llegue a casa, los volveré a pasar y te pegare el infosat.txt, aunque puedes esperar un satinfo limpio.



Un Saludo, y gracias por tu tiempo.

[msc hotline sat]

Supongo que te refieres al c:\infosat.txt, porque con el nombre de satinfo no lo vas a tener... :wink:



Nos lo posteas y si lo vemos limpio y no tienes mas anomalias, saremos popr solucionado el Tema



saludos



ms, 19-2-2009

[NickNack]

El problema es que aunque esté limpio, el virus sigue ahi :(

[NickNack]

Aqui tienes el Infosat.txt.


[code] Thu Feb 19 14:21:05 2009
EliStartPage v18.02 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Feb 19 14:21:14 2009
EliStartPage v18.02 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 4688
Nº Total de Ficheros: 26038
Nº de Ficheros Analizados: 9874
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 19 14:25:48 2009
EliStartPage v18.02 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 1691
Nº Total de Ficheros: 5637
Nº de Ficheros Analizados: 1541
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Thu Feb 19 14:25:57 2009
EliStartPage v18.02 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"

Thu Feb 19 14:26:16 2009
EliBagle v12.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Thu Feb 19 14:26:17 2009
EliBagle v12.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 4689
Nº Total de Ficheros: 26041
Nº de Ficheros Analizados: 7002
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 19 14:26:42 2009
EliBagle v12.23 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 17 de Febrero del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"

Nº Total de Directorios: 2931
Nº Total de Ficheros: 45926
Nº de Ficheros Analizados: 3585
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Nº Total de Directorios: 2931
Nº Total de Ficheros: 45926
Nº de Ficheros Analizados: 1995
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 19 14:27:49 2009
EliTriIP v5.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP

Thu Feb 19 14:27:52 2009
EliTriIP v5.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 4689
Nº Total de Ficheros: 26043
Nº de Ficheros Analizados: 9179
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 19 14:29:01 2009
EliTriIP v5.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 13 de Febrero del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "D:\"

Nº Total de Directorios: 2931
Nº Total de Ficheros: 45926
Nº de Ficheros Analizados: 3260
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[/code]

Cuando abro cualquiera de los tres programas y le doy a analizar a mi unidad C: me salta esto a mitad del analisis:



[img]http://img3.imageshack.us/img3/8617/dibujoki2.jpg[/img]



Un Saludo

[msc hotline sat]

Al respecto dle mensaje, se trata de una carpeta protegida, pulsa ACEPTAR, ya sabes que ahí no podemos acceder para analizar su contenido, pero ello no implica que haya virus.



Y ya que sospechas de algo mas, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 19-2-2009

[NickNack]

Saludos msc hotline sat;



Verás, como comente por arriba me es imposible pasar ningun antivirus ONLINE, ya que el Virus no me deja actualizar las bases de datos.



Sin embargo, investigando un poco por otra parte, he llegado aquí con el Rootkit del AVG.



[img]http://img167.imageshack.us/img167/8053/asdgs9.jpg[/img]





Que te parece?



Un saludo, y gracias de nuevo.

[NickNack]

"Efectiviwonder" amigo mio, he probado a eliminar estos archivos y reiniciar. Se me acaba de Actualizar el Antivirus :)



Algun consejo para asegurarme 100% que esto esta limpio?



Un saludo, y de nuevo, muchisimas gracias por la ayuda

[msc hotline sat]

bUENO, PUES MUY INTERESANTE TU INFORME DE ANTIROOTKIT !!!



Sí, cabe que haya un rootkit que nos oculte ficheros, procesos y claves... y buscando acerca del que mencionas, he encontrado esto:


[quote]GAOPDX is prefix used by CLB rootkit to hide it files.



The following is the driver that needs to be attacked(removed) and is responsible for locking out your tools/updates+hides the other "GAOPDX" files.



Name: gaopdxrevdeuth.sys

Image Path: C:\WINDOWS\system32\drivers\gaopdxrevdeuth.sys

Address: 0xF67D2000 Size: 172032 File Visible: -

Status: Hidden from Windows API!





Right use Rootrepeal again,use file scan only this time.



When it has listed "gaopdxrevdeuth.sys" then highlight its line by clicking on it.Right click with your mouse and select "Wipe File".[/quote]



Por ello conviene que arrancando en modo seguro, pruebes el ELIMOVER entrandole esta ruta y nombre de fichero:



C:\WINDOWS\system32\drivers\gaopdxrevdeuth.sys



y acepta en cambiar su extension a .VIR para que no pueda lanzarse a partir del proximo reinicio, y haz lo mismo con todos los ficheros que indica el informe que has posteado, a ver si encontramos alguno y lo mueve a C:\muestras, y desde allí nos lo puiedes enviar para analizar





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp



Ademas, a partir del ELISTARA de hoy, implementaremos la deteccion de dicho fichero pidiendo muestra del mismo si lo detectamos.



Y vamos a por él, que tenemos que aprovechar tu sexto sentido buscando lo que no vemos :roll: , que no está limpio todo lo que reluce ...



saludos



ms, 19-2-2009

[NickNack]

Bueno pues vamos allá, a ver que nos sale :)



Que hago con la entrada de C:/autorun.info/AUX ? Que ahí si que voy un poco perdido. Comentame un poco esto, voy mientras al modo a prueba de errores a hacer lo que me has indicado.





PD: Te dejo otro reporte de el AVG AntiRootkit, esta vez me muestra un solo archivo y los dos autorun.info.



[img]http://img7.imageshack.us/img7/2543/asdro6.jpg[/img]



También te dejo esta otra imagen. Es de Sys32/Drivers y muestra los archivos que detecto antes pero les ha cambiado la extension de .sys a .SY_ . Me gustaria saber si es normal, y en caso de serlo, me los puedo cargar? =)



[img]http://img17.imageshack.us/img17/8082/asdox1.jpg[/img]



Un saludo!

[color=#FF0000]

--------------------------------------------------------------------------------------------------------------------------------------[/color]



Actualizo:



En modo a pruba de fallos no he encontrado el archivo que me has indicado, ni ningun otro archivo con nombre sospechoso (Guiandome por el patron de los dos analisis. Ahora me detecta solo uno (El AVG AntiRootkit no lo puedo pasar en modo a prueba de errores).



No puedo moverlo con el Elimover y tampoco puedo verlo en la carpeta de System32/Drivers. (El archivo en cuestión es: aaoh2xu1.SYS - Además de los autorun.info que aun siguen ahi- )

[msc hotline sat]

Las carpetas de AUTORUN.INF\AUX supongo que son las que creamos de protecicon con el ELIPEN.



Si tienes vacunado este ordenador, no hagas caso, es cosa nuestra :mrgreen:



En cambio, lo otro ya lo puedes eliminar, si se deja :wink: :



"[b][i] ...de Sys32/Drivers y muestra los archivos que detecto antes pero les ha cambiado la extension de .sys a .SY_ [/i][/b]"



Si no, arranca en modo seguro para ello.



saludos



ms, 19-2-2009

[NickNack]

Eliminados estan :D



Pero aun sigo con el problema de:



[img]http://img207.imageshack.us/img207/5277/asdnf8.jpg[/img]



Cada vez que lo elimino con el rootkit y reinicio me cambia de nombre. Ahora parece que todo funciona segun lo debido, pero me mosquea mucho el tenerlo ahi y no saber que es :cry:



He de ausentarme unas horas, asi que dejare pasando el Kaspersky Online que me sugeristes arriba, ahora que puedo.



Un saludo, y infinitas gracias.

[msc hotline sat]

Y este fichero, como quiera que se llame, si va cambiando de nombre, mira de enviarnoslo para analizar, y lo analizaremos y monitorizaremos e implementaremos, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 19-2-2009

[NickNack]

Te dejo el reporte del Kaspersky ONLINE y el reporte de la herramienta de deteccion de software malintencionado de Windows (v2.7)


[quote]--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Thursday, February 19, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, February 19, 2009 18:01:07

Records in database: 1816984

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

H:\



Scan statistics:

Files scanned: 73542

Threat name: 2

Infected objects: 3

Suspicious objects: 0

Duration of the scan: 00:56:10





File name / Threat name / Threats count

C:\WINDOWS\system32\gaopdxmkkyxqht.dl_ Infected: Rootkit.Win32.TDSS.gxu 1

D:\Descargas\ELITRIIP.BC%D8BB%D8%D8I(2).EXE Infected: Trojan-Downloader.Win32.Agent.bhum 1

D:\Descargas\ELITRIIP.BC%D8BB%D8%D8I.EXE Infected: Trojan-Downloader.Win32.Agent.bhum 1



The selected area was scanned.
[/quote]



Y de la herramienta:



[img]http://img264.imageshack.us/img264/1411/asdvi0.jpg[/img]



Parece que lo elimino =D



Voy a ver si soy capaz de aislarte el (gaopdxmkkyxqht.dl_) que me detecta el KasperSky y mandaroslo, que me gustaria que lo añadieseis a vuestro software.



¿Que me detecte el ELITRIIP como troyano es normal? Supongo que si.



Ahora actualizo informandote de si soy capaz de aislar el archivo/s.



Un saludo.

[lucl]

Sobre el elitriip es un falso positivo pero no te preocupes :wink: y cuando puedas nos dices si pudiste enviarnos el archivo de marras saludos

[NickNack]

El Archivo parece ser que ha cambiado de nombre (gaopdxcount se llama ahora). Le doy a enviar muestras y me tira un error 500 (mirad a ver si lo podeis solucionar).



Os lo envio al mail que indicais, con la contraseña VIRUS.

[julibaga]

Por si se llegó a infectar o cambió el Elitriip, añádeles también la extensión .vir y envíalo.

Ahora, la versión es ELITRIIP.BIØBBØØI.EXE

que ya la puedes bajar.

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]



Y sí, les está dando un error interno. Esperemos lo solucionen pronto. Espero lo reciban por Email como se lo enviaste.

[msc hotline sat]

La gama de los GAOPDX son Rootkits que ya controlamos con el actual ELISTARA , descarga la versión actual y tras probarla posteanos el c:\infosat.txt resultante, y si te pide enviar muestras, ya sabes...



Y si al ejecutar el ELITRIIP que dices, no indica haber sido modificado, tranquilo, nuestras utilidades tienen comprobador de integridad, y si son infectadas o cambiadas un solo byte, lo detectan y dan el mensaje al respecto, dejando de funcionar.



Y ya que dices que nos has enviado muestra del [b][i]gaopdxcount[/i][/b], tan pronto la recibamos, la analizaremos e implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 20-2-2009

[NickNack]

Buenos dias,



Como soy un poco cabezón, tengo infestado otro ordenador de manera que podamos sacar algunas muestras. El ordenador en si se puede formatear cuando quiera.



Voy a probar aqui el nuevo ELITRIIP aver que resultados me da :)



Contestando a la pregunta de si en mi PC local el ELITRIIP me da falso positivo: Si, pero el propio programa no me ha indicado modificación alguna, asi que lo tomare como el falso positivo que es.



Y aquí va mi pregunta: El AVG AntiRootkit me detecta el fichero que va cambiando (situado en SyS32/Drivers), pero cuando pongo la ruta en el ELIMOVER, me dice que el fichero no existe :cry: y soy incapaz de moverlo. Habia pensado en alguna herramienta como el OTMoveIt (Creo que era así) o el MoveOnBoot , para moverlo en el reinicio.



A ver que me comentais. Un Saludo.

[msc hotline sat]

Olvidate del ELITRIIP. Para estos Rootkits hemos implementado su control y solicitud de muestras en el ELISTARA:


[quote="msc"]La gama de los GAOPDX son Rootkits que ya controlamos con el actual ELISTARA , descarga la versión actual y tras probarla posteanos el c:\infosat.txt resultante, y si te pide enviar muestras, ya sabes...[/quote]



Y para descargar el ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



y recibida la muestra que nos has enviado, llega sin nada en su interior.



Mira el tamaño del fichero que nos has enviado... y dinos su extension, pues dentro del RAR tampoco no aparece mas que un fichero de 4 bytes y sin extension:


[quote]
19/02/2009 14:56 4 gaopdxcounte_

1 archivos 4 bytes
[/quote]

y vuelve a empaquetarlo, si es de tamaño normal (varios KB, claro) y con extension, EXE, DLL, o lo que sea, porque sin nada, de nada sirve



El empaquetamiento hazlo en modo seguro, y ponle password virus,. como ya sabes... luego arrancas normal y nos lo envias, gracias



saludos



ms, 20-2-2009

[NickNack]

El archivo dentro de unas horas, que no estoy en casa.



La extension es .dll si no me equivoco, ya que lleva la extension .dl_



Voy a probar el Elistara :)

[msc hotline sat]

Bien, pero mira que tenga algo de tamaño... 4 bytes es nada !