si encuentras la solución lo mejor es poner como lo has solucionado para así el siguiente que le pase lo mismo lo pueda arreglar rápidamente.

dentro de muy poco publicaremos un completo análisis para que todo el mundo pueda ver como actua el virus.

Tenemos cosas graciosas como el directorio del creador del virus:


Que intenta matar antivirus, accede a urls para ver que webs tiene que atacar, etc, etc, etc.

al revés, ganarás estabilidad con NTFS porque es más robusto y fiable que FAT32.

Imposible que con FAT32 te deje hacer un fichero de 4gb, no es problema de software, quizás el otro programa era un dvd más pequeño o lo comprimió.

gracias a nhaalclkiemr y Meg por intentarnos facilitar muestras del virus.

Nos gusta saber donde hospedó los archivos, aunque ya los hayan borrado.

Por suerte, una empresa de antivirus (nod32)  ya nos ha facilitado muy amablemente muestras de 4 variantes de este virus para poderlo analizar.

Pues ya te está marcando el error, pero te explico para que lo entienedas.

Tu sistema de ficheros del disco duro es FAT32, y FAT32 tiene una limitación y es que no puede crear archivos de más de 4gb de tamaño y esto se necesita para los dvd's.

Deberías convertir tu unidad (disco duro) de FAT32 a NTFS (nuevo sistema de ficheros que acepta ficheros más grandes). Tranquilo que puedes convertir la unidad sin perder los datos (no necesitas formtear ni nada).

Busca información sobre el comando "convert" y convierte tu unidad FAT32 a NTFS para solucionar el problema.

el ataque ya ha sido solucionado (neutralizado), pero hay muchas variantes del bush.exe y las necesitamos todas 

Si alguien tiene una copia del virus bush.exe o sabe la URL de descarga, por favor enviad un e-mail a staff@elhacker.net

Gracias.

Más info aquí -->
http://foro.elhacker.net/index.php/topic,164966.0.html

Si has recibido un mensaje en el Messenger y has abierto un archivo bush.exe








Ahora estás infectado por un Virus (varias variantes).

Win32/VB.NHI  ||  Win32/VB.NKS  ||  MSNDiablo.A

Este virus ataca el foro de elhacker.net. Los infectados mandan el texto con la supuesta animación de bush.exe a TODOS los contactos del Messenger y así se propaga este gusano.

Si te han salido carteles con encabezado: Microsoft Internet Explorer.
En los que pone:



Es porque era un a protección en javascript para intentar detener el ataque en el foro. El atacante ha usado tu ordenador para visitar el foro repetidamente y saturarlo.

Si alguno de tus contactos te quiere enviar la animación bush.exe, copia la URL de la descarga del bush.exe o haz una captura de pantalla con la tecla Impr-PetSis  (pegar en el Word) y envíamos una copia del bush.exe o de la captura a la dirección de correo:

staff |arroba| elhacker |punto| net

Desinfección

Usa antivirus on-line vía web rápido de Panda:

http://www.nanoscan.com/

Vacuna:
ELISTARA.25052007.EXE

Otros:
http://www.pandasoftware.es/productos/activescan

Más información sobre el virus y sus variantes:

Notas de prensa de compañías Antivirus (nod32):

Nuevo gusano de MSN con textos en español sobre Bush
http://www.vsantivirus.com/05-05-07.htm

VB.NJL. Se propaga vía Messenger (Bush-gracioso.exe)
http://www.vsantivirus.com/vb-njl.htm

VB.NKS. Se propaga por Messenger como película de Bush
http://www.vsantivirus.com/vb-nks.htm

Un virus que se distribuye por Messenger asalta a españoles y latinoamericanos
http://www.20minutos.es/noticia/276078/0/alerta/virus/messenger/

Info:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=6838
http://www.pandasoftware.com/spain/virus_info/enciclopedia/verficha.aspx?idvirus=160139&sind=0

Vacuna:
http://fileinfo.prevx.com/fileinfo.asp?PXC=c7ca72518194

---

Preguntas-Respuestas sobre el virus bush.exe

- ¿Qué hace el virus?

El virus ataca al foro de elhacker.net, pero de manera silenciosa (sin que el usuario infectado se de cuenta de nada).

Se propaga enviando el mensaje de hey, mira esta animación de bush a todos los contactos del Messenger. Los nuevos infectados hacen lo mismo y así sucesivamente.

Hemos detectado miles de ordenadores infectados intentan acceder al foro y lo colapsan (por eso el foro ha funcionado mal durante estos últimos días) y habían 1.000-2.000 invitados en e foro.

- ¿Qué relación hay entre el virus bush.exe y elhacker.net?

Ninguna, simplemente que el virus has sido crear para floodear y colapsar el foro de elhacker.net.

Finalmente la única solución (contramedida) contra el virus es una pantalla como esta:



Sirve para validar que eres "humano" y que no estás infectado por el virus. Es decir, intentas entrar al foro navegando y no por culpa del virus. Simplemente aparece únicamente la primera vez que visitas el foro.

A diferencia del primer mensaje "Haz click en aceptar para entrar al foro", era un alert de JS que sí se les mostraba a los infectados y por eso al final aceptaban la cookie y la contramedida no servía.



Por lo visto las personas infectadas por el virus hacian click en aceptar (aún no sabiendo de donde procedía la ventana).

Aquí tenemos nuevas variantes del virus que el atacante hace servir para flodear al foro --->

Nuevo gusano de MSN con textos en español sobre Bush
http://www.vsantivirus.com/05-05-07.htm

VB.NKS. Se propaga por Messenger como película de Bush
http://www.vsantivirus.com/vb-nks.htm

Cómo curiosidad y por divertimento propio se acaba de quitar el javascript que "protege" el foro de los zombies para saber cuál es el número aproximado de máquinas inefectadas.

Y el foro aguanta sin problemas más de 1.000 zombies invitados (Ver Usuarios en Línea).

Ya saben, si necesitan un SEO, mejor que les hagan un DDoS para ganar visitas 

la redirección que te llevaba al index de la web ya está arreglada.

fue un error mío al intentar parar el ataque mirando el HTTP referer con el mod_security:


El problema es que en ciertas ocasiones estás en el foro y esta condición se cumple y por lo tanto, cuando hay muchos falsos positivos en una regla, no es una buena solución.

Más info del ataque:
http://foro.elhacker.net/index.php/topic,164082.0.html