Mensaje
por msc hotline sat » 13 Dic 2011, 21:46
Efectivamente, tras el analisis de un TDX.SYS malicioso, segun Tema https://foros.zonavirus.com/viewtopic.php?f=5&t=38325&p=187737&hilit=alureon#p187737
con la version ELISTARA 24.43 procedimos a eliminar el malware correspondiente a un ALUREON.AOV :
---v24.43-(12 de Diciembre del 2011) (Muestras de (2)Worm.Dorkbot "E621CA05.EXE", Spy.ZBot.Y "*****.EXE", (4)Proxy.EXI, Cutwail.BE "1DURZDHQ02.EXE", Alureon.AOV "TDX.SYS", ASKToolbar "GenericAskToolbar.dll", Sirefef.B(dr) "DMHOST.EXE", Sirefef.C(dr), Buzus.IQDL(dr) "FEUUB.EXE" y Malware.DrvSvc "DRVSVC.EXE")
Y se aparcaban en C:\muestras los ficheros que se encontraban en su misma ruta y con el mismo nombre, pidiendo que se nos enviaran para analizar, al poder ser variantes del mismo:
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\TDX.SYS.Muestra EliStartPage v24.43
a "virus@satinfo.es". Gracias.
Para, si en el analisis resultaba que no era malware, se volvía a copiar en su sitio con el nombre inicial y listos, si bien parece que no nos envió dicho fichero como pedimos, y no se le pudo informar al respecto.
Pero visto que existe un driver correcto con dicho nombre, se ha procedido a eliminar dicha deteccion heurística, a partir de la siguiente version 24.44 del ELISTARA de hoy.
Respecto al analisis del log vemos este fichero:
C:\WINDOWS\SYSTEM32\LXEACOMS.EXE
que puede ser el driver de una impresora, o un malware como indican en
http://virus-com.com/viruscom/viruscom_92616.html
aunque al ver otras claves de dicha impresora en su log, creemos que tiene instalada una de dicho tipo y en su caso debe tratarse de lo primero, de todas formas, envienos el fichero y lo comprobaremos.
Y finalmente vemos esta clave que sugerimos eliminar, al poder estar relacionada con virus:
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)
De todas formas si sabe que este keylogger es una aplicación comercial y que funciona a base de la inserción de un pendrive con dicha aplicacion, necesitariamos analizar dicho pendrive si quisieramos controlarlo, y ver donde guarda los datos recopilados y como evitarlo, pero si no dispone del mismo, poco podemos ayudarle :(
De todas formas si quiere evitar que se autoejecute dicho pendrive cada vez que lo inserten, vacune su ordenador con el ELIPEN y evitará la autoejecucion de los comandos OPEN del AUTORUN.INF del mismo.
[b]ELIPEN.EXE[/b]
http://www.zonavirus.com/descargas/descargar-elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el
resultado del proceso
Al menos si se consigue que no recoja la informacion acumulada, se evitará el espionaje... aparte de que si aun no está instalado, se evitaría su instalación.
Informenos de sus progresos al respecto, gracias
saludos
ms, 13-12-2011