Tema destacado: [Overclocking] Récords de overclock del foro
 Autor
|
Tema: Virus indetectable (Leído 5,513 veces)
|
jcoa81
 Desconectado
Mensajes: 21
|
Hola a todos. Estoy tratando de eliminar un virus que se implato en mis archivos rar con el nombre WINRAR.EXE he puesto que lo evalúe el nod32 y el kaspersky y no lo ha detectado. A continuacion una imagen para que se den idea de lo que menciono. Saludos. 
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Bueno si .. El tamaño del archivo no se corresponde con el de winrar original, la fecha de modificación es un tanto vieja XD, y haciendo lo que dices que hace ... es un virus ... pero eso ya lo sabíamos  Googleando no hay nada concreto referente a este virus, ya que parece ser que varios son los que utilizan este nombre, ... que tal si subes uno de esos zip/rar a rapidshare, megaupload o similar para poder darle una ojeada? Saludos
|
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
jcoa81
Desconectado
Mensajes: 21
|
Bien, gracias por la respuesta. Haber si puedes ayudarme, tengo muchos archivos importantes y no deseo tomarme el tiempo de descargarlo nuevamente. Todos mis archivos rar estan contaminado.  Googleando, encontre esto http://www.spycheck.es/genera.php?processfile=winrar.exe&dir=w&pag=35A ver denme su opinión. Respecto a colgarlo, es muy pesado, dado que el virus se multiplica, segun me percato. |
|
|
|
|
En línea
|
|
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Muy bien .... ahora no puedo .. pero seguro en un par de horas lo reviso y te digo algo  Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Axus
Desconectado
Mensajes: 1.937
Mas vale llegar tarde, que nunca llegar
|
Bien, gracias por la respuesta. Haber si puedes ayudarme, tengo muchos archivos importantes y no deseo tomarme el tiempo de descargarlo nuevamente. Todos mis archivos rar estan contaminado. Googleando, encontre esto http://www.spycheck.es/genera.php?processfile=winrar.exe&dir=w&pag=35A ver denme su opinión. Respecto a colgarlo, es muy pesado, dado que el virus se multiplica, segun me percato. Bueno según leo en el link, veo que lo mas probable es que esto sea un spyware según dice el texto. Pero bien mas abajo esta el siguiente link: http://www.hydra-networks.com/fas/spycheck_antispyware.zipPruebalo haber si con eso logras eliminarlo. PD:Recomiendo mejor que trates de eliminarlo con ese programa pero desde "Modo Seguro". Si no logras eliminarlo buscamos otra solución. Saludos 
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Buenas ... He bajado el archivo y lo he estado mirando ... pero desgraciadamente no he podido estrujarlo como se merece, ya que parece tener rutinas anti-VM y por esto no puedo verificar correctamente las rutas en las que trabaja  Pero es un bicho programado en VB C:\Users\Jordan\Desktop\30\mocosas.vbp :http://anubis.iseclab.org/?action=result&task_id=121e944175ba2cd442d92ce7636b35685&format=html :http://www.virustotal.com/es/analisis/b3fba3e2cc2cd2fc7486a89f988db78f568941e242c61161d38bee82b10dd753-1250893381 Este último Resultado: 3/41 (7.32%) Es como decías, los AV ni se enteran, a saber los AV que si han dado alerta ... Estos? como para quedarse  He probado el live-cd de DrWeb (actualizado a hoy) y no ha sabido encontrar nada, o finalmente no lo considera peligroso (es que como en modo interactivo no me funcionaba tuve que hacerlo por consola, y se pierde parte del análisis). Sin embargo Prevx si que ha funcionado, detecta el virus y alerta, así que podrías intentar con este, el instalador no pesa nada 768 kb, pero de cualquier manera tendrás que conseguir un serial para que además de detectar elimine (googlea, NO páginas crack), o bien luego de la detección copias la ruta del bicho y en modo a prueba de fallos lo eliminas (si es desde un live-cd de linux mejor) Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Arcano.
Desconectado
Mensajes: 468
|
Muy buenas!! He estado experimentando con el bixo en cuestión... Por lo pronto, hace lo siguiente: Registry Key hkey_local_machine\software\microsoft\windows\currentversion\run
Value Comunicacion Interna Intel. (S) will be a new value with data
comestrusystem.exe Crea una entrada en el registro para que 'el amigo' se ejecute al iniciar Windows c:\windows\comestrusystem.exe - Size=397.548 Date=Thu Jan 01 00:59:59 1970 Attributes=RHS--
====================================================== Crea el archivo en la ruta indicada. Registry Key hkey_local_machine\software\microsoft\windows nt\currentversion\terminal server\install\software\microsoft\windows\currentversion\run
Value Comunicacion Interna Intel. (S) will be a new value with data
comestrusystem.exe
Mmmm... ¿Instala Terminal server en la máquina para permitir acceso remoto? Por lo pronto, esto es lo que yo he podido ver... A ver si entre todos conseguimos algo más... Saludos! |
|
|
|
|
En línea
|
La curiosidad es la antesala al conocimiento...
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Arcano! donde tienes tu "laboratorio" para hacer pruebas? porque en el mío en Vmware el "bicho" no ha querido salir a jugar  Ya veo que voy a tener que montar un segundo con otro soft de virtualización, y hasta se me ocurre Xen ya que es menos probable que un virus venga con un Anti-Xen Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
skapunky
|
Arcano! donde tienes tu "laboratorio" para hacer pruebas? porque en el mío en Vmware el "bicho" no ha querido salir a jugar Puede ser que lo haya provado en su ordenador o un ordenador para hacer pruevas, pero Novlucker ya que te veo puesto te recomiendo que utilizes un debugger como el Olly, por lo general puedes ver todas las cadenas de texto pudiendo ver los archivos que se crean, las rutas,las claves creadas... Podría ser que llevara una protección anti-debugg pero para ello habia un plugin para el olly pa saltarse la protección de la api que realiza el anti-debug. Bueno es solo una idea más que se puede provar.
|
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Ni que lo digas ... pero es que para eso tengo que ponerme con ASM, y es algo que tengo como tarea pendiente por estar con otros lenguajes, pero si, es algo que quiero ver desde hace bastante Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
skapunky
|
Bueno, tampoco hace falta que sepas asm, con unos minimos de conocimientos puedes encontrar rapidamente las strings, es más sin conocimientos las encontrarias igual pero claro tardando algo más de tiempo. Por curiosidad si tienes tiempo hazlo, ya verás como encuentras strings. |
|
|
|
|
En línea
|
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
En mi caso para las strings utilizo strings.exe de Sysinternals, por eso lo de " C:\Users\Jordan\Desktop\30\mocosas.vbp", pero no había visto nada más así que es de suponer que esten encriptadas, y ahí si sería bueno saber manejarse con el Olly como es debido  , así que igual voy a seguir con tu consejo ... cuando tenga tiempo  |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Arcano.
Desconectado
Mensajes: 468
|
Hola Maestro! Novlucker... Lo poquito que he hecho ha sido: Iniciar con un windows limpio en un VmWareplayer. Activar el Process Monitor y el MJRegWatcher. Ejecutar el 'winrar'... El log que he pegado lo he visto con el MJRegWatcher. Process Monitor 'sólo' enseña un proceso llamado comestrusystem.exe con icono de Adobe Reader... Poco más he podido mirar... Saludos!!! |
|
|
|
|
En línea
|
La curiosidad es la antesala al conocimiento...
|
|
|
Novlucker
Ninja y
Moderador
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
Juaj ... entonces no se que habrá pasado, es más o menos lo que hice yo, y en mi caso el winrar.exe se abrió, miró un par de cosas y se volvió a cerrar con cero modificación en el sistema Voy a tener que darle un segundo vistazo Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
|
 |
