Virus TR/Drop.Agent.avam convierte archivos Word en .exe (SOLUCIONADO)

[ElEspecialista]

Después de formatear una PC e instalar Windows 7 y Office 2010, procedí a abrir dos archivos word copiados desde un pendrive, los cuales al cerrarlos se me abre una ventana del Asistente para compatibilidad de programas que me preguntó si necesitaba reiniciar el programa como Administrador y elegí Este programa funciona correctamente. Luego de eso, reacciono y me doy cuenta que ambos documentos word eran de tipo Aplicación y tenían el mismo tamaño: 829kb. Busco todos los documentos word que copié a la PC y luego en el PenDrive y me doy cuenta que todos tienen el mismo tipo (Aplicación) y el mismo tamaño (829kb). Enseguida retiro la memoria USB y la conecto en otro equipo con el [b]Avira Antivirus[/b] instalado donde procedí a escanearlo y me detectó el virus troyano [b]TR/Drop.Agent.avam[/b] con la siguiente descripción:


[quote]Nombre: TR/Drop.Agent.avam

Descubierto: 26/10/2009

Tipo: Troyano

Subtipo: Dropper

En circulación (ITW): Sí

Número de infecciones comunicadas: Medio

Potencial de propagación: Bajo

Potencial dañino: Medio-bajo

Fichero estático: Sí

Tamaño: 745.472 Bytes

Suma de control MD5: 0C59eadc2628f66819ee0F76f5eeb910

Versión del IVDF: 7.01.04.220 - sábado, 11 de julio de 2009



General Método de propagación:

• No tiene rutina propia de propagación





Alias:

• Kaspersky: Trojan.Win32.Obfuscated.whl

• Sophos: W32/IRCBot-ADJ

• Panda: Bck/Mircbased.BT

• Eset: IRC/Cloner.BX trojan

• Bitdefender: Trojan.AgentMB.ITGL3168337





Plataformas / Sistemas operativos:

• Windows 2000

• Windows XP

• Windows 2003





Efectos secundarios:

• Desactiva los programas de seguridad

• Suelta ficheros

• Suelta ficheros dañinos

• Reduce las opciones de seguridad

• Modificaciones en el registro

• Posibilita el acceso no autorizado al ordenador



Ficheros Se copia a sí mismo en las siguientes ubicaciones:

• %PROGRAM FILES%\Microsoft Office\OFFICE11\ WINWORD.EXE

• %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe

• %Start Menu%\Programs\Startup\Adobe Gamma Loader.com







Crea la siguiente carpeta:

• %PROGRAM FILES%\Microsoft Office\OFFICE11







Crea los siguientes ficheros:



– %PROGRAM FILES%\Microsoft Office\OFFICE11\Drvics32.dll Contiene parámetros empleados por el programa malicioso.

– %PROGRAM FILES%\Microsoft Office\OFFICE11\hjwgsd.dll Contiene parámetros empleados por el programa malicioso.

– %PROGRAM FILES%\Microsoft Office\OFFICE11\jwiegh.dll Contiene parámetros empleados por el programa malicioso.

– %PROGRAM FILES%\Microsoft Office\OFFICE11\remote.ini Contiene parámetros empleados por el programa malicioso.

– %PROGRAM FILES%\Microsoft Office\OFFICE11\ruimsbbe.dll Contiene parámetros empleados por el programa malicioso.

– %PROGRAM FILES%\Microsoft Office\OFFICE11\control.ini Contiene parámetros empleados por el programa malicioso.

– %PROGRAM FILES%\Microsoft Office\OFFICE11\PUB60SP.mrc Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/IrcBot.7385.A



– %PROGRAM FILES%\Microsoft Office\OFFICE11\yofc.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: IRC/Zapchast.YF



– %PROGRAM FILES%\Microsoft Office\OFFICE11\smss.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.576628.2



Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:



– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

• "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe"







Elimina del registro de Windows los valores de la siguiente clave:



– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]

• "ProxyServer"

• "ProxyOverride"

• "AutoConfigURL"



– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

%all registry keys%]

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

%all registry keys%]





Añade las siguientes claves al registro:



– [HKCR\exefile]

• "NeverShowExt"=""



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\Acha.exe]

• "Debugger"="cmd.exe /c del"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\registry.exe]

• "Debugger"="cmd.exe /c del"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\AmyMastura.exe]

• "Debugger"="cmd.exe /c del"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\csrsz.exe]

• "Debugger"="cmd.exe /c del"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\SMSSS.exe]

• "Debugger"="cmd.exe /c del"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\lsasc.exe]

• "Debugger"="cmd.exe /c del"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\BabyRina.exe]

• "Debugger"="cmd.exe /c del"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\wscript.exe]

• "Debugger"="rundll32.exe"



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Image File Execution Options\cscript.exe]

• "Debugger"="rundll32.exe"



– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]

• "AntiVirusDisableNotify"=dword:00000001

• "AntiVirusOverride"=dword:00000001

• "FirewallDisableNotify"=dword:00000001

• "FirewallOverride"=dword:00000001

• "FirstRunDisabled"=dword:00000001

• "UpdatesDisableNotify"=dword:00000001

• "UacDisableNotify"=dword:00000001



– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

• "EnableLUA"=dword:00000000







Modifica las siguientes claves del registro:



Varias opciones de configuración en Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

Nuevo valor:

• "ShowSuperHidden"="0x0"

• "SuperHidden"="0x0"



Varias opciones de configuración en Explorer:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\SuperHidden]

Nuevo valor:

• "CheckedValue"=dword:00000000

• "UncheckedValue"=dword:00000000

• "DefaultValue"=dword:00000000



– [HKLM\SOFTWARE\Microsoft\Security Center]

Nuevo valor:

• "AntiVirusDisableNotify"=dword:00000001

• "FirewallDisableNotify"=dword:00000001

• "UpdatesDisableNotify"=dword:00000001

• "AntiVirusOverride"=dword:00000001

• "FirewallOverride"=dword:00000001

• "FirstRunDisabled"=dword:00000001

• "UacDisableNotify"=dword:00000001



– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]

Nuevo valor:

• "Type"=dword:00000004

• "Start"=dword:00000004



– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]

Nuevo valor:

• "Type"=dword:00000004

• "Start"=dword:00000004



– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]

Nuevo valor:

• "Type"=dword:00000004

• "Start"=dword:00000004



IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:



Servidor: irc.dal.net

Puerto: 6667

Apodo: Gold_girXls



Informaciones diversas Para buscar una conexión a Internet, contacta los siguientes sitios web:

• http://www.tourism.gov.my

• http://www.miti.gov.my

• http://www.putera.com



Tecnología Rootkit Oculta las siguientes:

– Sus propios ficheros



Datos del fichero Lenguaje de programación:

El programa de malware ha sido escrito en Visual Basic.[/quote]



Por lo que temo que aparte de la memoria USB, tengo infectada esa nueva instalación en la PC y no tengo idea cómo eliminarla sin residuos y sin tener que formatearla nuevamente. El Avira solo me da la opción de enviar a cuarentena y eliminar los archivos Word sin posibilidad de restaurarlos a su estado original.



Muchas Gracias por su ayuda anticipadamente, y espero no estar violando ninguna regla del foro por la forma en que publiqué este tema.

[msc hotline sat]

Pues es de suponer que se trata de un cifrado de ficheros de word, convirtiendolos a .EXE, como hacía el MABEZAT, aunque puede tratarse de otro troyano ya que los AV indicados en el informe, no lo detectan con dicho nombre.



Al decirnos que le vino en un pendrive, pensamos que se puede propagar por AUTORUN.INF, por lo cual recomendamos vacune su ordenador y pendrives con el ELIPEN:





[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y para ver de lo que se trata realmente, envienos uno de estos ficheros word convertidos a .EXE, y tras analizarlo informaremos del resultado



Para ello, recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 3-1-2013

[ElEspecialista]

No les había comentado que esa unidad pendrive ya la había vacunado con ELIPEN hace tiempo.



Supongo que por eso el resultado fue:


[quote] (9-1-2013 02:49:35 (GMT))

EliPen v2.6 (c)2012 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ YA esta Protegida



(9-1-2013 02:49:56 (GMT))

EliPen v2.6 (c)2012 S.G.H. / Satinfo S.L.

------------------------------------------

Configurado el AutoPlay por Tipo de Unidad

para TODOS los Usuarios del Sistema.[/quote]

Lo otro es que el enlace con las instrucciones para enviar el archivo infectado ya no existe.



Conseguí esta guía: https://foros.zonavirus.com/viewtopic.php?f=5&t=24875 donde ustedes vuelven a hacer referencia al enlace que ya no es válido, por lo que segui las instrucciones de esa un guía existente.



Sin embargo, ni mi correo gmail ni el hotmail me permiten adjuntar el archivo ya que lo detectan como virus por lo que se los envío vía Dropbox.

[msc hotline sat]

Para evitar las detecciones de los antivirus en los ficheros que se nos envian para controlar, pedimos que se nos envie en un ZIP o RAR con password "virus" , (sin comillas) pero si lo ha subiso al DROPBOX, indiquenos link de dicho fichero para descargarlo de allí.



saludos



ms, 9-1-2013

[ElEspecialista]

Disculpen, pero estoy utilizando WinRAR para comprimir y aunque le coloco la opción de establecer contraseña "virus" no sé por que no la aplica.



La dirección de DropBox se las había enviado por correo a zonavirus@satinfo.es, pero aquí está:



[i][b]url eliminada por no contener informes sino ficheros maliciosos[/b][/i]



Saludos y Gracias!

[msc hotline sat]

Hay versiones de empaquetadores que piden mas de 6 letras como password, y entonces en lugar de "virus" se pone "infected" y listos.



Y solo las muestras sospechosas deben enviarse a satinfo, los informes se analizan aqui, en el foro.



Voy a ver si este link baja de la Nube algun fichero...



y luego sigo.

[msc hotline sat]

Pues tanto el RAR como el ZIP contenían 3 ficheros iguales, infectados !



NO SE DEBEN ENVIAR AL FORO FICHEROS INFECTADOS, LOS PUEDE DESCARGAR CUALQUIERA E INFECTARSE O INFECTAR A LOS DEMAS ... !!!



Solo postear informes de resultados de las utilidades, nunca ficheros sospechosos:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Estos deben enviarse a SATINFO para su analisis y control .



Elimino el link del Dropbox en consecuencia, y cuando hayamos analizado los ficheros, informaremos.



ms.

[msc hotline sat]

Pues en el preanalisis vemos que se trata del malware LAMIN.A, del que hemos creado nota informativa, con lo que indica INTECO al respecto de este malware, en:



http://www.zonavirus.com/noticias/2013/nueva-variante-de-malware-lamin.asp



De entrada no vemos que estos EXE fueran inicialmente DOC, como habíamos entendido en un principio, y al ver instrucciones de CMD /c DEL..., nos tememos que los DOC los haya eliminado, y los EXE ocupen su lugar, pues además los tres EXE enviados son idénticos, lo cual no sería asi, si correspondieran a tres DOC diferentes...



De todas formas infectaremos un ordenador de pruebas y monitorizaremos su comportamiento, a ver lo que nos hace y lo comentaremos.



saludos



ms, 10-1-2013

[msc hotline sat]

BUENAS NOTICIAS !





Con la monitorización de las muestras de dicho malware hemos visto que su malicia consiste es ocultar los documentos DOC que encuentra, aplicándoles atributo de oculto y de sistema, y crear con su mismo nombre y extension .EXE copias del malwarecon icono de Word.



Así que con el ELISTARA 26.85 vamos a eliminar los EXE malwares indicados y restauraremos los atributos normales a los ficheros DOC que tengan el mismo nombre que el de los EXE que eliminamos.



Si se han eliminado ya los indicados EXE, se pueden recuperar dichos DOC abriendo una ventana al DOS y lnzando un



ATTRIB c:\*.DOC -r -h -s /S



Pero evidentemente ello si ya se ha eliminado dicha infección, sino con el ELISTARA 26.85 lo hará todo.







saludos



ms, 10-1-2013

[ElEspecialista]

En mi caso cuando abría el archivo con la extensión .exe me abría Word con el documento esperado, por lo que asumo que el virus lo enlazaba al oculto para que uno no se de cuenta que está abriendo un ejecutable.



Ya los ejecutables fueron eliminados y el virus también, por lo que les agradezco nuevamente su grandiosa ayuda y podemos dar por solucionado este caso.



Mis respetos!!!!

[msc hotline sat]

Efectivamente, lo que hacia el virus es cargarse en memoria al lanzar el fichero EXE visible, y tras ello lanzaba el de word que había ocultado, disimulando asi su presencia y permaneciendo activo aunque todo "funcionara"



Pues celebramos que hayamos podido eliminar el problema, y dando por solucionado el Tema, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-1-2013