Win32/Kryptik.BXM Troyano

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
DR2k1
Mensajes: 12
Registrado: 04 Jul 2004, 12:45

Win32/Kryptik.BXM Troyano

Mensaje por DR2k1 » 15 Feb 2010, 14:09

Hola!



Os pido ayuda en este caso que se nos ha venido encima hoy a la mañana. Somos una empresa de diseño web que tenemos contratados unos servers para el alojamiento. Resulta que se ha colado algún virus en uno de los servidores y no conseguimos deshacernos de él por más que limpiamos los archivos infectados. Cuando visitas las webs infectadas salta el antivirus. En mi caso el ESET Smart Security. Me deja en el registro del eset lo siguiente:



15/02/2010 11:30:00

Protección en tiempo real del sistema de archivos

archivo C:\documents and settings\all users\datos de programa\microsoft\xvyarv\xvyarvkn.exe

una variante de Win32/Kryptik.BXM Troyano

no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena

DANI\User

Suceso ocurrido durante la creación de un archivo por la aplicación: C:\Archivos de programa\Adobe\Reader 8.0\Reader\AcroRd32.exe.



No sabemos exactamente de donde nos ha venido la infección, si ha sido un cliente subiendo un pdf (por lo del acrobat) o si ha sido una web externa que tenía unos problemas, descubrimos que tenía virus, lo limpiamos, etc y ahora está en nuestro server.

La cosa es que modifica los archivos añadiendo unas lineas <script>, las limpiamos, quedan limpios, pero vuelven a surgir, por lo que creo que quedarán rastros en el servidor o algo y de ahí se reproduce. Las lineas que añade son tales como estas:

abre un tag script src='http://nt004.cn/E/J.JS' y luegocierra script

Pone ese enlace u otro parecido, como 'http://nt01.con.in/3' y similares.



También he mirado por google sobre ese virus pero apenas encuentro nada, hay poca info.



Ahora mismo está mi jefe hablando con el responsable al que tenemos contratados los servidores a ver cómo solucionan el tema, pero yo por mi parte os pregunto a vosotros a ver si sabéis alguna posible solución.



Un saludo, y gracias anticipadas!
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Win32/Kryptik.BXM Troyano

Mensaje por msc hotline sat » 15 Feb 2010, 17:56

Supongo que te refieres a una variante de esta familia de Fake Alert:



Análisis del archivo f415b4c4686b2ad02e7420fee77affa4 recibido el 2009.09.30 06:36:10 (UTC)

Estado actual: análisis terminado



Resultado: 25/40 (62.50%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 5.0.0.2 2009.09.29 -

AntiVir 7.9.1.27 2009.09.29 TR/Dldr.FraudLoad.wsti

Antiy-AVL 2.0.3.7 2009.09.30 -

Authentium 5.1.2.4 2009.09.30 W32/Trojan3.BHT

Avast 4.8.1351.0 2009.09.29 Win32:Agent-AGZP

AVG 8.5.0.412 2009.09.29 Generic14.BLWI

BitDefender 7.2 2009.09.30 Trojan.FakeAlert.BMX

CAT-QuickHeal 10.00 2009.09.30 TrojanDownloader.FraudLoad.ws

ClamAV 0.94.1 2009.09.30 Trojan.Downloader.FraudLoad-12

Comodo 2469 2009.09.29 -

DrWeb 5.0.0.12182 2009.09.30 Trojan.Fakealert.5229

eSafe 7.0.17.0 2009.09.29 Suspicious File

eTrust-Vet 31.6.6768 2009.09.29 -

F-Prot 4.5.1.85 2009.09.30 W32/Trojan3.BHT

F-Secure 8.0.14470.0 2009.09.30 Trojan-Downloader:W32/FakeAlert.GK

Fortinet 3.120.0.0 2009.09.30 W32/FraudLoad.WSTI!tr.dldr

GData 19 2009.09.30 Trojan.FakeAlert.BMX

Ikarus T3.1.1.72.0 2009.09.30 Win32.Outbreak

Jiangmin 11.0.800 2009.09.27 -

K7AntiVirus 7.10.856 2009.09.29 -

Kaspersky 7.0.0.125 2009.09.30 Trojan-Downloader.Win32.FraudLoad.wsti

McAfee 5756 2009.09.29 FakeAlert-AntiVirusPro

McAfee+Artemis 5756 2009.09.29 FakeAlert-AntiVirusPro

McAfee-GW-Edition 6.8.5 2009.09.30 Trojan.Dldr.FraudLoad.wsti

Microsoft 1.5005 2009.09.23 -

NOD32 4468 2009.09.29 a variant of Win32/Kryptik.APO

Norman 6.01.09 2009.09.29 W32/FakeAV.P!genr

nProtect 2009.1.8.0 2009.09.29 -

Panda 10.0.2.2 2009.09.29 -

PCTools 4.4.2.0 2009.09.29 -

Prevx 3.0 2009.09.30 -

Rising 21.49.22.00 2009.09.30 -

Sophos 4.45.0 2009.09.30 Mal/EncPk-KP

Sunbelt 3.2.1858.2 2009.09.30 -

Symantec 1.4.4.12 2009.09.30 Trojan.Fakeavalert

TheHacker 6.5.0.2.022 2009.09.30 -

TrendMicro 8.950.0.1094 2009.09.30 TROJ_FAKEAV.BLR

VBA32 3.12.10.11 2009.09.29 -

ViRobot 2009.9.30.1964 2009.09.30 Adware.AntiVirusPro2010.R.13824

VirusBuster 4.6.5.0 2009.09.29 Trojan.Fraudload.Gen!Pac.6

Información adicional

File size: 11229 bytes

MD5 : f415b4c4686b2ad02e7420fee77affa4

SHA1 : adc286ee5118b0c25ffcc29f0914295443a19a2b





que alguno le llama Kryptik o quizas una variante del mismo, dadas las siglas que indicas "BXM"...



Prueba el ELISTARA a ver si te detecta algo o pide muestra para analizar, y sino, arranca en modo seguro y mira si asi tu antivirus es capaz de limpiarlo, y sino, si al menos lo detecta, envianos muestra para analizar:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y si te pide que nos envies muestra, recuerda:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 15-2-2010
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”