|
Título: Virus indetectable Publicado por: jcoa81 en 21 Agosto 2009, 18:18 pm Hola a todos.
Estoy tratando de eliminar un virus que se implato en mis archivos rar con el nombre WINRAR.EXE he puesto que lo evalúe el nod32 y el kaspersky y no lo ha detectado. A continuacion una imagen para que se den idea de lo que menciono. Saludos. (http://img34.imageshack.us/img34/756/dibujoymx.jpg) (http://img34.imageshack.us/i/dibujoymx.jpg/) Título: Re: Virus indetectable Publicado por: Novlucker en 21 Agosto 2009, 18:55 pm Bueno si ..
El tamaño del archivo no se corresponde con el de winrar original, la fecha de modificación es un tanto vieja XD, y haciendo lo que dices que hace ... es un virus ... pero eso ya lo sabíamos :P Googleando no hay nada concreto referente a este virus, ya que parece ser que varios son los que utilizan este nombre, ... que tal si subes uno de esos zip/rar a rapidshare, megaupload o similar para poder darle una ojeada? :P Saludos Título: Re: Virus indetectable Publicado por: jcoa81 en 21 Agosto 2009, 19:06 pm Bien, gracias por la respuesta. Haber si puedes ayudarme, tengo muchos archivos importantes y no deseo tomarme el tiempo de descargarlo nuevamente. Todos mis archivos rar estan contaminado. >:(
Googleando, encontre esto http://www.spycheck.es/genera.php?processfile=winrar.exe&dir=w&pag=35 A ver denme su opinión. Respecto a colgarlo, es muy pesado, dado que el virus se multiplica, segun me percato. Título: Re: Virus indetectable Publicado por: jcoa81 en 21 Agosto 2009, 19:51 pm Lo siguiente es el virus.
Descarguenlo bajo su responsabilidad. http://rapidshare.com/files/269907683/remotedesktop.rar.html Haber si pueden darle solucion a mi problema. Saludos. Título: Re: Virus indetectable Publicado por: Novlucker en 21 Agosto 2009, 20:09 pm Muy bien .... ahora no puedo .. pero seguro en un par de horas lo reviso y te digo algo ;)
Saludos Título: Re: Virus indetectable Publicado por: Axus en 21 Agosto 2009, 22:52 pm Bien, gracias por la respuesta. Haber si puedes ayudarme, tengo muchos archivos importantes y no deseo tomarme el tiempo de descargarlo nuevamente. Todos mis archivos rar estan contaminado. >:( Googleando, encontre esto http://www.spycheck.es/genera.php?processfile=winrar.exe&dir=w&pag=35 A ver denme su opinión. Respecto a colgarlo, es muy pesado, dado que el virus se multiplica, segun me percato. Bueno según leo en el link, veo que lo mas probable es que esto sea un spyware según dice el texto. Pero bien mas abajo esta el siguiente link: http://www.hydra-networks.com/fas/spycheck_antispyware.zip Pruebalo haber si con eso logras eliminarlo. ;) PD:Recomiendo mejor que trates de eliminarlo con ese programa pero desde "Modo Seguro". Si no logras eliminarlo buscamos otra solución. Saludos :) Título: Re: Virus indetectable Publicado por: Novlucker en 22 Agosto 2009, 05:59 am Buenas ...
He bajado el archivo y lo he estado mirando ... pero desgraciadamente no he podido estrujarlo como se merece, ya que parece tener rutinas anti-VM y por esto no puedo verificar correctamente las rutas en las que trabaja :( Pero es un bicho programado en VB Citar C:\Users\Jordan\Desktop\30\mocosas.vbp :http://anubis.iseclab.org/?action=result&task_id=121e944175ba2cd442d92ce7636b35685&format=html:http://www.virustotal.com/es/analisis/b3fba3e2cc2cd2fc7486a89f988db78f568941e242c61161d38bee82b10dd753-1250893381 Este último Resultado: 3/41 (7.32%) Es como decías, los AV ni se enteran, a saber los AV que si han dado alerta ...
He probado el live-cd de DrWeb (actualizado a hoy) y no ha sabido encontrar nada, o finalmente no lo considera peligroso (es que como en modo interactivo no me funcionaba tuve que hacerlo por consola, y se pierde parte del análisis). Sin embargo Prevx (http://www.prevx.com/) si que ha funcionado, detecta el virus y alerta, así que podrías intentar con este, el instalador no pesa nada 768 kb, pero de cualquier manera tendrás que conseguir un serial para que además de detectar elimine (googlea, NO páginas crack), o bien luego de la detección copias la ruta del bicho y en modo a prueba de fallos lo eliminas (si es desde un live-cd de linux mejor) :P Saludos Título: Re: Virus indetectable Publicado por: Arcano. en 24 Agosto 2009, 12:55 pm Muy buenas!!
He estado experimentando con el bixo en cuestión... Por lo pronto, hace lo siguiente: Citar Registry Key hkey_local_machine\software\microsoft\windows\currentversion\run Value Comunicacion Interna Intel. (S) will be a new value with data comestrusystem.exe Crea una entrada en el registro para que 'el amigo' se ejecute al iniciar Windows Citar c:\windows\comestrusystem.exe - Size=397.548 Date=Thu Jan 01 00:59:59 1970 Attributes=RHS-- ====================================================== Crea el archivo en la ruta indicada. Citar Registry Key hkey_local_machine\software\microsoft\windows nt\currentversion\terminal server\install\software\microsoft\windows\currentversion\run Value Comunicacion Interna Intel. (S) will be a new value with data comestrusystem.exe Mmmm... ¿Instala Terminal server en la máquina para permitir acceso remoto? Por lo pronto, esto es lo que yo he podido ver... A ver si entre todos conseguimos algo más... Saludos! Título: Re: Virus indetectable Publicado por: Novlucker en 24 Agosto 2009, 13:48 pm Arcano! donde tienes tu "laboratorio" para hacer pruebas? porque en el mío en Vmware el "bicho" no ha querido salir a jugar :-(
Ya veo que voy a tener que montar un segundo con otro soft de virtualización, y hasta se me ocurre Xen ya que es menos probable que un virus venga con un Anti-Xen >:( Saludos Título: Re: Virus indetectable Publicado por: skapunky en 24 Agosto 2009, 13:54 pm Citar Arcano! donde tienes tu "laboratorio" para hacer pruebas? porque en el mío en Vmware el "bicho" no ha querido salir a jugar Puede ser que lo haya provado en su ordenador o un ordenador para hacer pruevas, pero Novlucker ya que te veo puesto te recomiendo que utilizes un debugger como el Olly, por lo general puedes ver todas las cadenas de texto pudiendo ver los archivos que se crean, las rutas,las claves creadas... Podría ser que llevara una protección anti-debugg pero para ello habia un plugin para el olly pa saltarse la protección de la api que realiza el anti-debug. Bueno es solo una idea más que se puede provar. Título: Re: Virus indetectable Publicado por: Novlucker en 24 Agosto 2009, 14:02 pm Ni que lo digas ... pero es que para eso tengo que ponerme con ASM, y es algo que tengo como tarea pendiente por estar con otros lenguajes, pero si, es algo que quiero ver desde hace bastante ;)
Saludos Título: Re: Virus indetectable Publicado por: skapunky en 24 Agosto 2009, 14:17 pm Bueno, tampoco hace falta que sepas asm, con unos minimos de conocimientos puedes encontrar rapidamente las strings, es más sin conocimientos las encontrarias igual pero claro tardando algo más de tiempo.
Por curiosidad si tienes tiempo hazlo, ya verás como encuentras strings. ;) Título: Re: Virus indetectable Publicado por: Novlucker en 24 Agosto 2009, 14:51 pm En mi caso para las strings utilizo strings.exe (http://technet.microsoft.com/en-us/sysinternals/bb897439.aspx) de Sysinternals, por eso lo de "C:\Users\Jordan\Desktop\30\mocosas.vbp", pero no había visto nada más así que es de suponer que esten encriptadas, y ahí si sería bueno saber manejarse con el Olly como es debido :D, así que igual voy a seguir con tu consejo ... cuando tenga tiempo :-X
Título: Re: Virus indetectable Publicado por: Arcano. en 24 Agosto 2009, 15:11 pm Hola Maestro! :P
Novlucker... Lo poquito que he hecho ha sido: Iniciar con un windows limpio en un VmWareplayer. Activar el Process Monitor y el MJRegWatcher. Ejecutar el 'winrar'... El log que he pegado lo he visto con el MJRegWatcher. Process Monitor 'sólo' enseña un proceso llamado comestrusystem.exe con icono de Adobe Reader... Poco más he podido mirar... Saludos!!! Título: Re: Virus indetectable Publicado por: Novlucker en 24 Agosto 2009, 15:17 pm Juaj ... entonces no se que habrá pasado, es más o menos lo que hice yo, y en mi caso el winrar.exe se abrió, miró un par de cosas y se volvió a cerrar con cero modificación en el sistema >:(
Voy a tener que darle un segundo vistazo Saludos Título: Re: Virus indetectable Publicado por: Arcano. en 24 Agosto 2009, 16:44 pm Novlucker
Citar ...es más o menos lo que hice yo... Mmmm... Será que cuando lo has intentado estaría cansaete el amigo... :Pskapunky Citar Novlucker ya que te veo puesto te recomiendo que utilizes un debugger como el Olly... Gracias por la información. La verdad es que yo tampoco he usado el Olly... A ver si me decido un día y lo pruebo...Por cierto, me parece que en este post (https://foro.elhacker.net/seguridad/resultado_hijackthis-t264737.0.html) está el mismo 'bicho'... Por mi parte, si puedo seguir jugando, iré informando... jcoa81 ... Sólo por curiosidad, cómo te has infectado... ¿Estabas intentado encontrar el msn 8.1??? Saludos! Título: Re: Virus indetectable Publicado por: Novlucker en 24 Agosto 2009, 16:48 pm Citar Por cierto, me parece que en este post (https://foro.elhacker.net/seguridad/resultado_hijackthis-t264737.0.html) está el mismo 'bicho'... Cierto, pero mira el autor ... lo que ocurre es que no da señales de vida :xDTítulo: Re: Virus indetectable Publicado por: Arcano. en 24 Agosto 2009, 16:53 pm Anda, la leche... Pues si es el mismo usuario... :huh:
Pos nada, a ver si... Vuelve para contarnos 'algo'.... Saludos!!! Título: Re: Virus indetectable Publicado por: jcoa81 en 30 Enero 2011, 15:04 pm Hola a todos, lei sus comentarios, y disculpen por no contarles lo que hice.
Bueno, ocurre que el kaspersky logro eliminarlo. Según he visto ese virus se instalaba en los archivos winrar, a la vez que multiplicaba tales archivos en otras carpetas. Bueno, no recuerdo donde me infecte =/ Título: Re: Virus indetectable Publicado por: Isótopo en 30 Enero 2011, 15:58 pm Bueno, no recuerdo donde me infecte =/ Normal... de un año para otro las cosas se olvidan... |