Foro de elhacker.net

Hola, hace unos dias me infecté por error de un archivo que me bajé de internet.

Uso Windows 7, Al abrir el ejecutable me di cuenta que creaba unos cuantos procesos "epy.exe" "epx.exe" "taskeng.exe" y algunos más que ya no recuerdo, tambien me creó una clave de registro para iniciarse con windows...

En fin, estoy muy indignado, porque si abrí el maldito virus es porque ni Avira, ni asquared, ni avast, ni el NOD me avisaron de que es un virus.

(Quiero aclarar que el NOD es el que tengo instalado en mi PC, los otros son versiones portables, los actualizo y hago un escaneo cuando veo algun archivo sospechoso...)

Se que un virus se puede indetectar, pero estamos hablando de un virus que tiene ya 7 meses, porque el post de donde me lo bajé tiene ese tiempo y no lo han actualizado.

He intentado borrar toda la ***** de este virus manualmente, pero como ningun av me lo detecta... yo no se si aún sigo infectado o no.

¿Esto es muy raro, no? Tengo los AV actualizados a la fecha de ayer, además he subido el archivo a novirusthanks y allí el avira si que lo detecta... quizás sea por el nivel de heuristica, que yo usé un nivel 2, y en esa página quizas usen uno más alto... no se...

Quizás a pesar de que un archivo cree procesos en segundo plano, incluso claves de registro para iniciarse con windows... ¿quizás no sea un virus? (Tengo mis sospechas de que el archivo es un worm-p2p en cuestion...)

Otra pregunta que me viene a la cabeza es... que tipo de virus crea más de 5 procesos?... que yo sepa si fuese un troyano solo habría creado un proceso.. o no?

http://www.virustotal.com/

no hay duda de que el proceso "taskeng.exe" en windows 7, es un virus, ya que este proceso, no existe en windows 7

si indicas la url del virus, entro, lo descargo y lo ejecuto en una VM, para despues analizarlo con antivirus y antispysware, y seguir su comportamiento, con monitorizadores de procesos.

por ultimo, estas en lo cierto, los troyanos solo crean un proceso, al menos, hasta donde sé, y con los que he hecho pruebas.

Rando eso no me sirve pero gracias, yo ya se que es algún tipo de virus o troyano... pero no se si estoy desinfectado porque el virus en si no lo reconoce ningún av de los que uso...

Por otro lado, quizás lo has dicho para que virustotal mande la muestra a los AV's mMm eso quizás me sirva pero no se cual será el resultado ni lo que tardará en ser detectado... xD





Hola, gracias por tu interés, este es el link:

http://surfclear-media.biz/SQLyog.Ultimate.Edition.8.54.keygen.45064.exe



ni que lo digas, joder, la verdad es que que unvirus te cree más de 5 procesos, acojona...

No lo detecta ningun AV como virus, xq no es un virus, es una app que intenta descargar uno. Salta como sospechoso xq está protegido. Intenta acceder a páginas como fivedo.in o servicetaxis.in para descargar troyanos, rogues...etc

Mas info en donde Microsoft:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader:Win32/Renos.MJ

me estás diciendo que esos procesos que crea el ejecutable podrian ser troyanos y ahora mismo puedo estar infectado por más de 5 troyanos diferentes!?

(Voy a pasar otro scan enseguida, gracias)

EDITO: ahora todo tiene más sentido, crea muchos procesos porque es un downloader, no habia caido en eso jaja.

Yo no he dicho eso. Dije que intenta acceder a esas páginas para descargar malware, mas info en la página de Microsoft que te dí.

Es obvio que hay que conocer el funcionamiento de un  troyano: recopilar información y abrir proceso de comunicación con el proceso padre.


También creo que es un downloader, es más fino y sofisticado de hecho pasa la protección web de la mayor parte de los antivirus.

Lo más probable, es que sea un gusano o virus 0 day que para evitar que sea borrado crea otros procesos con nombres aleatóreos

una vez tuve algo parecido

si quieres hacer un teamviewer, aplícale a un privado Saludos

descargé y ejecute el archivo (virus); SQLyog.Ultimate.Edition.8.54.keygen.45064, en una maquina virtual con SO Windows XP SP2, generó 5 archivos ejecutables(.exe),"Rcubaa.exe" "Rzy.exe" "Rzx.exe" "Rzv.exe" "Rzw.exe", la ruta del 1º C:\Windows\ , los cuatro restantes en una carpeta temporal...el exe en el momento de ejecutarlo o se autoeliminó o se ocultó, pero antes de ejecutar hice una copia y comprimi otra...

los ejecutables;"Rcubaa.exe" "Rzy.exe" "Rzx.exe" han creado cada uno un proceso, ademas "Rcubaa.exe" aparece a veces con dos subprocesos,se conectan a direcciones remotas atraves del puerto 80 (yo nunca logré hacer funcionar un server configurado con el puerto 80 para conectarse con el cliente), lo que mas me ha sorprendido es la gran cantidad de conexiones que abre cada proceso, simultanea y alternativamente, finalizando unas, y comenzando otras, a veces aparece tambien un proceso de nombre "Unknown" y tambien se conecta por el puerto 80, en cada sesion cambia la identidad del proceso (PID)...en todas las conexiones establecidas, la IP local es 10.0.2.15,,, decir tambien que estos procesos son faciles de terminarlos, y de localizarlos, atraves de un monitorizador de procesos.


Tambien ejecuté; SQLyog.Ultimate.Edition.8.54.keygen.45064, en otra maquina virtual con Windows Vista home  premium, aquí todo es diferente, en el momento de ejecutarlo, el Avast pide abrirlo en Sandbox, detecta la URL maliciosa, y como nombre del objeto; fivedo.in/, (si bien cuando se analiza desde el menú contextual, el Avast no detecta nada), el comportamiento  en windows vista es algo anormal el proceso que crea (solo uno) tiene el mismo nombre del ejecutable, e intenta una rara conexion remota 5.5.5.5, por el puerto 80, sin lograr establecerla, ya que se queda en el estado syn sent, en la siguiente sesion ni rastro del virus, para seguir observandolo hay que volver a ejecutar, previa desactivacion del Avast.....ahhh, pitoloko, el link del virus que has puesto, ahora mismo no funciona desde ningun navegador

... Eso me asusta, quizás me ha espiado el "autor" del link y lo ha borrado porque se ha dado cuenta de que me habeis ayudado a investigar? mmm... :/ o quizás lo ha visto desde tu maquina virtual, joder... bueno lo que está claro es que el tipo está activo, si ha borrado el link..puf

Y lo que dice .:UNDER:. tiene sentido tambien, a ti te ha creado 5 procesos aleatorios, y a mi otros distintos...

Bueno, y si estoy una semana sin conectar internet, por si es un troyano, para que no pueda actualizar el server indetectabe en mi pc, ¿os parece buena idea? no quiero formatear...

Gracias por la ayuda a todos, en especial vJuan

By siteinspector.com

---

Report Details
This is a medium risk page: http://surfclear-media.biz/ Result for 2011-06-18 04:57:19 UTC

Unavailable page

    Unable to connect

Blacklisted URL

    Blacklisted URL.  Possible malicious URL. [BL1, detected malicious activity (trojan)]

:(