 Autor
|
Tema: [Vacuna] Virus/Gusano Messenger envia adjunto supuestas Fotos--> Fotos_posse.zip (Leído 36,363 veces)
|
|
Hendrix
|
Una variante del gusano Win32/Stration.XW ahora llamado VB.NKY está causando serios problemas en el Messenger. "hola, espero que te gusten las fotos" Caputra de imagen de como se propaga:   Aqui les dejo la vacuna, lo tienen que descomprimir en una carpeta y lo tienen que ejecutar desde la CMD (esto es importante, ya que se le tienen que pasar parametros). O si lo prefieren, van a Inicio/ejecutar y escriben la ruta de la vacuna + los parametros, un ejemplo: C:\vacuna.bat home http://www.vsantivirus.com/vb-nky.htmNombre: VB.NKY
Nombre NOD32: Win32/VB.NKY
Tipo: Gusano de Internet y Caballo de Troya
Alias: VB.NKY, IM-Worm.Win32.VB.az, Mal/VBBanc-A, Rogue.ErrorSafe, Trojan.VB.AililiA.A, Trojan.VB-733, Trojan-Downloader.Win32.Banload.ams, W32.Posse, W32/VB.AZ!worm.im, W32/VBWorm.NNP, Win32.VB.az, Win32/VB.NKY, Worm.VB.az, Worm.VB.AZ.13, Worm/VB.AZ.13
Fecha: 21/may/07
Plataforma: Windows 32-bit
Tamaño: 36,864 bytes Descargar VACUNAhttp://ns2.elhacker.net/vacuna.rarhttp://ns2.elhacker.net/vacuna.zipUn Saludo.
|
|
|
|
« Última modificación: 22 Mayo 2007, 17:11 por el-brujo »
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián |
|
|
BenRu
The Prodigy
 Desconectado
Mensajes: 4.006
Primero la música y luego las palabras...
|
Bueno, aqui está la versión, para no tener que usar comandos, osea, con un doble click, ya se nos abrirá. Descomprimimos los tres archivos en la misma carpeta, y ejecutamos home.bat, si tenemos Windows XP Home Edition, o professional.bat, si tenemos Windows XP Professional Mirror 1 http://alwar.mainfri.com/Downloads/benru/vacuna.zip(Gracias a Alwar por hospedar el zip  ) Mirror 2 http://rapidshare.com/files/32404649/vac.zip.htmlUn saludo
|
|
|
|
« Última modificación: 20 Mayo 2007, 20:34 por BenRu »
|
En línea
|
"El arte está hecho para ser sentido y no para ser comprendido. Por eso, cada vez que se quiere hablar de él según la inteligencia, no se dicen mas que tonterías" Remy D Gourmont
|
|
|
|
ghastlyX
|
Le pongo una chincheta temporal al tema, cuando lleve una semanita o así la quitaré. Un saludo de ghastlyX |
|
|
|
|
En línea
|
|
|
|
|
|
pacoxxx
Desconectado
Mensajes: 35
|
La verdad es que la gente es un poco inepta  ¿Cómo pueden tragarse que son fotos? Sólo por el hecho de que ocupan 11Kb, y sobre todo, , porque al abrir el rar aparece "noseque. rar.EXE" Pues aun asi hay mazo de gente que lo abre  Ya he tenido que dejar sin admision a unos cuantos porque el virus es una pesadez... Les tendre que pasar la vacuna!  Saludoss! |
|
|
|
|
En línea
|
|
|
|
{_The_Alwar_}
Desconectado
Mensajes: 712
Who dares win
|
no, en este caso el virus es mas elaborado y te pasan un archivo, y como el msn no deja pasar .exe, .bat y .dll pues te lo comprime en un zip diciendo que son fotos, y claro, si no te fijas tu ves el archivo y lo abres, aunque es cierto, son un poco tontos, puesto que pone foto.jpg.exe, aunque supongo que habrá mucha gente que no se fija y o que no entiende lo que conlleva .exe o .jpg, las dos cosas le serán conocidas, y ya para colmo si el virus tiene el icono de los jpg nadie se percatara, aunque esto no lo se, porque yo estoy en linux.
Yo también estuve a punto de poner a varios sin admisión, hasta que acepte el zip y ya me dejo en paz, pero ni si quiera lo abrí, lo borre directamente
|
|
|
|
|
En línea
|
|
|
|
marlon_agz
Desconectado
Mensajes: 982
Encontre el origen de los Emos xD
|
hey my friends
me temo que tengo en una computadora un problema similar :S pero el archivo se llama foto_celular
y pss la vacuna no le hizo ni cosquillas :s
intente modificar el bat, las entradas de fotos_posse.zip por foto_celular y si lo elimino pero al poco tiempo volvio a aparecer :S
que puedo hacer?
ya pase tambien el nod 32 y ni lo detecto :s
Salu2
|
|
|
|
|
En línea
|
|
|
|
{_The_Alwar_}
Desconectado
Mensajes: 712
Who dares win
|
eso es porque tienes q eliminar las estradas del registro q seguramente estan ejecutando otro programa cada vez q arrancas
|
|
|
|
|
En línea
|
|
|
|
D4RIO
Desconectado
Mensajes: 996
STOP CENSORSHIP
|
Analizare este batch a ver que de nuevo encuentro...  Hace tiempo vengo desarrollando una herramienta a la que llame TrashOverKiller que busca los archivos que crean comunmente esta clase de gusanos (De paso tambien busca las cosillas conocidas como NetBus y BackOrifice) asi como entradas en el registro que los llamen y saca todo. a ver si le egrego algo mas, aunque creo que ya inclui algunos nombres de archivo de este Fotos_Posse, y de un tal FotosFesta y el clasico BushGracioso... Es cierto, la gente es muy ignorante respecto a esto, ya que no se fijan en las extensiones de los archivos ni en cosas logicas como el tamaño... |
|
|
|
|
En línea
|
|
|
|
BenRu
The Prodigy
Desconectado
Mensajes: 4.006
Primero la música y luego las palabras...
|
Este batch esta hecho para eliminar únicamente el gusano fotos_posse.
Cada malware funciona de una manera, crea uno u otros archivos, diferentes nombres, rutas,etc.
|
|
|
|
|
En línea
|
"El arte está hecho para ser sentido y no para ser comprendido. Por eso, cada vez que se quiere hablar de él según la inteligencia, no se dicen mas que tonterías" Remy D Gourmont
|
|
|
D4RIO
Desconectado
Mensajes: 996
STOP CENSORSHIP
|
Este batch esta hecho para eliminar únicamente el gusano fotos_posse.
Cada malware funciona de una manera, crea uno u otros archivos, diferentes nombres, rutas,etc. Eso ya lo sabia, yo precisamente recopilo esa info, los nombres de archivo que son del mismo malware, por ejemplo foto_celular.exe, los meto en una lista y luego busco en todas las carpetas de sistema (eso con un batch ), y aparte hago otra lista con los que son falsificaciónes de ruta (por ejemplo c:\windows\system32\csrss.exe es un proceso de windows mientras que c:\windows\csrss.exe es de un conocido troyano). y otra con procesos falsos posibles, por ejemplo 1sass.exe, lsasss.exe, e isass.exe son falsificaciones que los gusanos sasser hacen del proceso real lsass.exe Respecto al problema del foto_celular que lei por ahi (marlon_agz), hace lo siguiente: Dirigite a driveswizard.iespana.es (humilde sitio que hice para subir cosillas), y descargate el FileASSASSIN. Si usas Windows ME o XP apaga el System Restore (Restaurar Sistema), eso se hace en propiedades del sistema, y activa la opcion de ver los archivos ocultos y del sistema (eso en opciones de carpeta) Reinicia en modo a Prueva de Fallos. Primero mata cualquier proceso que haga referencia a alguno de los archivos que te digo: c:\archivos de programa\netmeeting\maisumviado.exe
c:\foto_celular.zip
c:\foto_celular.scr
c:\windows\system32\hidekit.exe
c:\windows\system32\logunit.sys
c:\windows\system32\msnworm.exeSi esos archivos no se dejaran borrar usa el FileASSASSIN. Ahora antes de reiniciar en modo Normal borra el contenido de la carpeta c:\windows\prefetch y en el registro todo lo que tenga que ver con los archivos que te dije. Eso lo tenes que buscar en las ramas de inicio que son: HKey_Local_Machine\software\microsoft\windows\currentversion\run
HKey_Local_Machine\software\microsoft\windows\currentversion\runonce
HKey_Local_Machine\software\microsoft\windows\currentversion\runservices
HKey_Current_User\software\microsoft\windows\currentversion\run
HKey_Current_User\software\microsoft\windows\currentversion\runonce
HKey_Current_User\software\microsoft\windows\currentversion\runservicesUna vez desinfectado descargate del sitio que te dije el SpywareBlaster, lo instalas, actualizas y activas todas las protecciones. Y como antivirus si queres bajate el Active Virus Shield que es gratis y es muy bueno, si lo haces, el nod desactivalo pero no lo desinstales, guardatelo para analizar. Byebye
|
|
|
|
|
En línea
|
|
|
|
marlon_agz
Desconectado
Mensajes: 982
Encontre el origen de los Emos xD
|
Gracias mi amigo pero ya lo solucione con el elistara gracias por la info  |
|
|
|
|
En línea
|
|
|
|
Zinc
Desconectado
Mensajes: 2.168
Argentina
|
Es la misma vacuna para el virus Fotos_celular?
Saludos.
|
|
|
|
|
En línea
|
Tiempo al tiempo, es tiempo de regresar al foro.elhacker.net...  |
|
|
D4RIO
Desconectado
Mensajes: 996
STOP CENSORSHIP
|
No amigo, más arriba escribí como sacar el foto celular, y sino te puedes bajar el TrashOverKiller, que es una herramienta a éstos fines que hace poco termine de hacer, la tengo almacenada en mi web http://netdrive.iespana.es en la sección de progs relacionados con la seguridad informática. BYEBYE |
|
|
|
|
En línea
|
|
|
|
|
Huemulito
|
haber lo pase y dice esto
Pulsa un boton para empezar el proceso
Error: Argumento u opción no válido - 'sp2.exe'.
Escriba "TASKKILL /?" para obtener información de uso.
Error: Argumento u opción no válido - 'fotos_posse.zip'.
Escriba "TASKKILL /?" para obtener información de uso.
Error: Argumento u opción no válido - 'server[1].exe'.
Escriba "TASKKILL /?" para obtener información de uso.
El archivo C:\WINDOWS\system32\sp2.exe no existe
El archivo C:\fotos_posse.zip no existe
El archivo C:\server.exe no existe
No se encuentra C:\Documents and Settings\Nahuel\Escritorio\server[1].exe
Error: el sistema no pudo encontrar la clave o valor de registro especificados
El sistema no puede hallar la ruta especificada.
Proceso finalizado
Pulsa un boton para reiniciar el PC y asi completar la limpieza
Segun parece toy bien??
|
|
|
|
« Última modificación: 8 Junio 2007, 22:06 por BENDER-DEICIDE »
|
En línea
|
i7 860 @ 2.8 Ghz
Asus Sabertooth 55i
2X2 GB DDR3 1600 Geil Evo Two
Samsung SpinPoint 500GB SATA II 16MB Buffer
WD Green 1 TB SATA II 64MB Buffer
Gab Satellite 511K (Black)
Satellite SL-8600EPS 600watts
MSI HD5750 1GB GDDR5 |
|
|
|
 |
