VPC32.EXE en carpeta de sistema,variante SDBOT - SOLUCIONADO

Mensaje por **msc hotline sat** » 29 Sep 2004, 16:22

Tema iniciado en viewtopic.php?p=13817#13817

Tras recibir muestra de fichero sospechoso VCP32.EXE, nomvre normalmente utilizado de una aplicacion de seguridad de Norton, y que desactivan algunos conocidos virus como el Napson, Yaha y algunos Gaobot, dado que este estaba en la carpeta de sistema y no en la normal del antivirus, se ha estudiado y visto que se instala para su ejecucion desde tres claves de registro,

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

Eliminando el fichero de dicha carpeta (en XP C:\windows\system32) y eliminadas dichas claves, desaparece la infeccion pasando a ser un SDBOT mas de los muchos conocidos.

Enviada la muestra a McAfee, han creado un EXTRA.DAT para su control con dicho antivirus, el cual será incluido en proximos ficheros DAT:

__________________________________________

85 178 156 179 77 51 218 128 63 28 222 215 111 92 249 157
122 92 255 222 242 55 28 177 12 50 40 181 15 224 176 248
185 62 249 76 12 71 14 177 77 51 104 187 248 160 31 131
33 2 95 144 0 177 133 176 105 82 224 65 78 204 142 49
7 54 234 214 99 29 231 179 13 50 141 167 242 50 224 253
192 49 138 179 67 52
6820 256 12619 340 W32/Sdbot.worm

__________________________________________

La deteccion del mismo se realiza como SDBOT.worm.gen.J y como siempre, para crear el EXTRA.DAT deve seleccionarse el script entre lineas y hacer un copiar y pegar con el bloc de notas y salvarlo como EXTRA.DAT, el cual coipiar a la carpeta de los demás DAT del antivirus

Agradecemos a los foreros DanielZ. y LuisZ. que nos han enviado sendas muestras identicas, que han permitido examinar el indicado fichero y salir de dudas.

Aparte de controlarlo con el antivirus de McAfee con el EXTRA.DAT indicado, y poder además eliminarlo manualmente ssegun lo indicado, vamos a incluir en el ELISLUTA la deteccion y eliminacion de esta nueva variante de SDBOT, para su facil eliminacion.

saludos
ms, 29-09-2004

j0sexu · Mensaje por **j0sexu** » 29 Sep 2004, 17:54

Hola, soy nuevo en el foro así que os mando un saludo a todos

Bueno , seré rapido ya que es sistema se cuelga cada cierto tiempo, así que disculpen las faltas de ortografica que pueda poner

Veamos, pues estoy infectado con el "virus" vcp32.exe pues el nod32 me lo ha detectado y no me deja eliminarlo, está actualizado a dia de hoy.

Pues bueno, el caso es el siguiente... en el administrador de tareas no me salen los siguientes procesos ---> dllcon.exe vpc32.exe como decia caito en el otro post, sin enbargo , si me salen los siguientes procesos --->
microsoft.exe y winupdate2date.exe ejecutados por mi no por el sistema, nosé si me entendeis, entonces voy al regedit y veo que en vez de salirme esto --> HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
me sale esto otro: HKEY\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
por lo que el camino no deberia de ser el mismo, pero el caso es que voy a esas rutas y encuentro al microsoft.exe y al winupdate2date.exe , los borrro los 2 ( no he mencionado que hago eso una vez quitados del administrador de tareas ) y me dirijo a lo que seria :
HKEY\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES
y me aparecen otra vez los 2 solitarios, y por lo tanto los elimino...
Luego me doy cuenta de que no puedo acceder a:
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
Por que a mi me sale HKEY y no HKLM o HKCU?

Tengo los síntomas típicos de uno de los foreros , osea, cuelgues, la barra de tareas se cuelga, tengo la CPU al 100% y cada 20 tengo que reiniciar, llevo así 2 días y no hay forma, ni con nod32 ni con norton 2004 actualizado puedo solucionar el problema.
Y eso es todo, supongo que algo me habré dejado, pero es que tengo que darme prisa en escribir el post antes de que se me cuelgue el firefox , os agradeceria que me pudieseis ayudar con la mayor brevedad ya que esto ya se hace insoportable y he tenido que formatear y reinstalar windows muchas veces antes de dar con el problema de los cuelgues , osea el p**o virus, gracias a todos de ante mano por la ayuda que me podais dar o por dar algun dato para solucionar elproblema, estaré al tanto de post.

Saludos.

caito · Mensaje por **caito** » 29 Sep 2004, 18:25

Info :
http://www.vsantivirus.com/gaobot-ed.htm
https://www.symantec.com/security-cente ... 13-5943-99

Salu2
Caito

Mensaje por **msc hotline sat** » 29 Sep 2004, 19:19

Con c ualquier antivirus que te lo detecte, la cuestion es arrancar en modo seguro, deshabilitar la restairacion de sistema si es XP y lanzar el antivirus que tengas en modo de eliminacion.

Lo dificil fue detectarlo, pero una vez controlado, es uno SDBOT mas...

saludos

ms, 29-09-2004

otaco · Mensaje por **otaco** » 29 Sep 2004, 20:15

Una duda d como añadir el .DAT a la carpeta d McAfee. Ya tengo un archivo q se llama EXTRE.DAT en esa carpeta, ¿lo sustituyo o guardo el nuevo con otro nombre?

Gracisa y saludos

Mensaje por **msc hotline sat** » 29 Sep 2004, 20:27

Si es un EXTRA.DAT que ya esta incluido en los DATS normales, lo eliminas y pones el nuevo.

Si no es asi. editas el nuevo con el bloc de notas y lo copias y pegas al final del otro, si bien esto debe comprobarse que haya quedado bien, en la practica.

Asi controlarias los dos

Pero si puedes prescindir del antiguo y poner el nuevo, tienes mas garantías, pues cuando juntamos dos o tres siempre lo comprobamos y según se ha hecho ba o no.

saludos

ms, 29-09-2004

Maokun · Mensaje por **Maokun** » 29 Sep 2004, 22:35

Hola, necesito ayuda por favor, pues los efectos de este virus cada vez son mas visibles. Miles de veces he borrado esas entradas de registro, he borrado el archivo, he usado hijackthis para arreglarlo, lo he puesto en cuarentena...pero no sirve de nada. Cuando arranco el computador todo vuelve a aparecer..las entradas de registro..todo! Y no tengo el McAfee para usar ese dat... espero me puedan ayudar

JEXUS · Mensaje por **JEXUS** » 30 Sep 2004, 00:34

Ademas de la solucion que aqui se esta dando y esperando la nueva herramienta que van a actualizar los cracks de este foro os aconsejo que consigais he instaleis estos programas en sus ultimas versiones:

-Pest Patrol (Es un antiespia que me ha localizado 105 robots espias despues de haber pasado el Spy&Bot).
-Outpost Firewall (para evitar ataques y conexiones no deseadas, aun no lo tengo confirmado pero es posible que con él se solucione el problema de la perdida de conexión)
-The cleaner (estupendo programa antitroyano, me ha localizado 6 troyanos después de haberle pasado todos los antivirus habidos y por haber).

Si alguien puede colocar aqui los enlaces para la descarga de estos programas que lo haga please.

Despues de instalar estos tres programas y haber actualizado el Spy&Bot a la version 3.1.3 creo y digo que creo porque hasta mañana o pasado no os lo podre confirmar, que he solucionado el problema que tenia con el virus relacionado con el archivo VPC32.exe.

En cualquier caso nunca me habia sentido tan protegido.

AjTr0 · Mensaje por **AjTr0** » 30 Sep 2004, 02:24

De donde puedo bajar el mcafee por favor..

baje uno de softonic pero es demo y no encuentro ningun DAT en el :S

tambien kisiera saber si ya tiene fecha el parche o esa utilidad ke dicen ke solucionara mas rapidamente el problema, aun sigo con el problema y espero ke la solucion ya este cerca

Salu2!

caito · Mensaje por **caito** » 30 Sep 2004, 03:11

The Cleaner: http://www.zonavirus.com/descargas/the-cleaner-2011.asp

Outpost Firewall: http://www.zonavirus.com/descargas/outp ... ll-pro.asp

Salu2
Caito

Mensaje por **msc hotline sat** » 30 Sep 2004, 12:56

Como sea que la eliminacion de esta nueva variante del SDBOT se aplica a la de los demás SDBOT que es el ELISLUTA, se rehará dicha utilidad para ique sirva para todos, y se compilará de nuevo, lo cual vamos a hacer en cuanto podamos dedicarnos a ello.

Mientras, manualmente es muy facil eliminarlo, como ya deciamos ayer:

Es cuestion de eliminar las siguientes claves que carguen este fichero en cada reinicio y birrar el indicado VOC32.EXE de 97280 butes suti en la carpeta de sistema :

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

Eliminando el fichero de dicha carpeta (en XP C:\windows\system32) y eliminadas dichas claves, desaparece la infeccion pasando a ser un SDBOT mas de los muchos conocidos.

Para poder borrar el fichero, que no dejará windows si está en uso, arrancar en modo seguro o eliminar primero las claves y reiniciar, tras lo cual podrá borrarse

Tan pronto como tengamos lista la utilidad, la subiremos a esta web y lo comunixaremos.

saludos
ms, 30-09-2004

otaco · Mensaje por **otaco** » 30 Sep 2004, 15:09

Añadiendo el script, al ya existente, extra.dat el mcafee m ha detectado y eliminado tres archivos infectados por el sdbot

Gracias y saludos

Mensaje por **msc hotline sat** » 30 Sep 2004, 15:24

Efectivamente, de esto se trataba.

Costó un poco al ser nuevo y descontrolado, y esconderse con un nombre de antivirus que los antivirus lo desactivan y al buscarlo en documentación salía en muchas descripciones de antivirus, por la detención del proceso, pero con las muestras aportadas y la colaboración de McAfee, lo logramos.

saludos
ms, 30-09-2004

AjTr0 · Mensaje por **AjTr0** » 30 Sep 2004, 18:21

otaco escribió:Añadiendo el script, al ya existente, extra.dat el mcafee m ha detectado y eliminado tres archivos infectados por el sdbot

Gracias y saludos

De donde me puedo bajar el McAfee?

AjTr0 · Mensaje por **AjTr0** » 30 Sep 2004, 21:16

msc hotline sat escribió:Efectivamente, de esto se trataba.

Costó un poco al ser nuevo y descontrolado, y esconderse con un nombre de antivirus que los antivirus lo desactivan y al buscarlo en documentacion salía en miuchas descripciones de antivirus, por la detencion del procseo, pero con las muestras aportadas y la colaboracion de McAfee, lo logramos.

saludos
ms, 30-09-2004

logre encontrarlo como dicen el sdbot y el vcp32.exe, todo bien pero luego estando conectado kiere volver a ingresar el virus.. el mcafee lo detecto keriendo ingresar nuevamente y no pudo hacer nada y luego lo examine no encontro nada, toy usando el mcafee 8...

otaco todo anda bien en tu pc? porfavor agregame a mi msn para ke me ayudes con mas calma..

gracias

Mensaje por **msc hotline sat** » 01 Oct 2004, 12:03

Cuando McAfee detecta un intento de intrusion, como en este caso, la accion adecuada es pulsar en DETENER, pues ni se puede eliminar porque no aun no está ni Limpiar en consecuencia.

La cuestión es controlarlo y evitar que entre, y si ta ha entrado, eliminarlo, todo ello con el EXTRA:DAT aplicado.

Esperamos que los DATS 4397 ta incorporarán dicha deteccion.

Paralelamente y para facilitar la eliminacion, hemos hecho las utilidades de eliminación, y decimos "las" porque este bicho utiliza para entrar tres agujeros de microsoft conocidos, el del RPCDCOM (el inicial del Blaster), el del LSASS )iniciado por el SASSER) y los WebDAV y UPNP (como muchos otros DFBOT) , aparte de aprovechar puertas traseras abiertas por otros backdoor, pot lo que no solo lo controlaremos con el ELISLUTA, como los demas SDBOT, sino también con el ELIRPCA como los que entran por el RPCDCOM y con el ELILSA como los que entran por el LSASS

En consecuencia, además de poder estas utilidades que las subiremos hoy a esta web, recirdar actualizar los parches de microsoft con el windowsupdate. pues sin ellos no hay antivirus que valga para impedir su acceso, aparte de un cortafuegos, aser posible por hardware para que los virus no lo desactiven.

Tan pronto hayamos subiro las nuevas versiones de dichas utilidades, lo comunicaremos

saludos
ms, 1-10-2004

Mensaje por **msc hotline sat** » 01 Oct 2004, 13:31

SE HAN SUBIDO LAS NUEVAS UTILIDADES A LA WEB

Podeis probarlas, segun detalle:

ELIBAGLA
---v3.4--- ( 1 de Octubre del 2004) (para el Bagle.AZ o AQ de VSAntiVirus)
____________
ELILSA
---v3.0--- ( 1 de Octubre del 2004) (para el Korgo.AE, RBot.EH de Trend y RBot.KX de Sophos)
____________
ELIRPCA
---v7.5---( 1 de Octubre del 2004) (para Gaobot.NC,3XY,3AMA,NRL, SdBot "VPC32.EXE",
____________
ELISLUTA
---v4.7---( 1 de Octubre del 2004) (para IRC/SdBot.TC de VSAntiVirus y el "VPC32.EXE")

Los links son los de siempre, luego con mas tiempo los detallaré. Me esperán para comerrrrrrr!!!!!!!

http://www.zonavirus.com/descargas/util ... atinfo.asp

saludos
ms, 1-10-2004

Mensaje por **msc hotline sat** » 01 Oct 2004, 14:59

Subidas nuevas utilidades para este variante de SDBOT con gusano VPC32.EXE.

saludos
ms, 1-10-2004

AjTr0 · Mensaje por **AjTr0** » 01 Oct 2004, 15:44

gracias por el gran esfuerzo y dedicacion ke le dan para ayudarnos, voy a probar las utilidades en cuanto llegue a casa y comentarles ke tal fue..

Salu2!

Mensaje por **msc hotline sat** » 01 Oct 2004, 16:48

Es un placer, y esperamos que las noticias sean satisfactorias, pero en cualquier caso, nos interesan para confirmación de resultados.

saludos
ms, 1-10-2004

JEXUS · Mensaje por **JEXUS** » 02 Oct 2004, 05:08

Yo tambien quiero daros las gracias por el tiempo y la dedicacion que me habeis dado para intentar solucionar el famoso "virus" VPC32 o como se llame, je je.

Lo cierto es que me adelanté a la solución que le habéis dado con las nuevas utilidades usando los 3 programas que recomiendo encarecidamente en este mismo hilo.

Un saludo a todos y hasta la proxima.

AjTr0 · Mensaje por **AjTr0** » 04 Oct 2004, 02:13

weno... luego de 2 dias de prueba con la pc funcionando perfectamente puedo estar seguro de ke el virus se fue y espero no volver a sufrir con otro virus parecido... ya ke este realmente fue una molestia por mas de 4 dias :oops: pero sin la ayuda de ustedes pudo haber sido mucho mas, son un gran ekipo y estaremos apoyandolos siempre.. animo ke son lo maximo!!

Salu2! =)

Mensaje por **msc hotline sat** » 04 Oct 2004, 10:01

Pues muy amable por sus comentarios, y quedando solucionado el caso, se cierra el Tema

saludos
ms, 4-10-2004