Autor
|
Tema: Ningún antivirus me detecta este virus (Leído 12,179 veces)
|
SuperDraco
Desconectado
Mensajes: 2.505
Crew Dragon
|
Hola, hace unos dias me infecté por error de un archivo que me bajé de internet.
Uso Windows 7, Al abrir el ejecutable me di cuenta que creaba unos cuantos procesos "epy.exe" "epx.exe" "taskeng.exe" y algunos más que ya no recuerdo, tambien me creó una clave de registro para iniciarse con windows...
En fin, estoy muy indignado, porque si abrí el maldito virus es porque ni Avira, ni asquared, ni avast, ni el NOD me avisaron de que es un virus.
(Quiero aclarar que el NOD es el que tengo instalado en mi PC, los otros son versiones portables, los actualizo y hago un escaneo cuando veo algun archivo sospechoso...)
Se que un virus se puede indetectar, pero estamos hablando de un virus que tiene ya 7 meses, porque el post de donde me lo bajé tiene ese tiempo y no lo han actualizado.
He intentado borrar toda la ***** de este virus manualmente, pero como ningun av me lo detecta... yo no se si aún sigo infectado o no.
¿Esto es muy raro, no? Tengo los AV actualizados a la fecha de ayer, además he subido el archivo a novirusthanks y allí el avira si que lo detecta... quizás sea por el nivel de heuristica, que yo usé un nivel 2, y en esa página quizas usen uno más alto... no se...
Quizás a pesar de que un archivo cree procesos en segundo plano, incluso claves de registro para iniciarse con windows... ¿quizás no sea un virus? (Tengo mis sospechas de que el archivo es un worm-p2p en cuestion...)
Otra pregunta que me viene a la cabeza es... que tipo de virus crea más de 5 procesos?... que yo sepa si fuese un troyano solo habría creado un proceso.. o no?
|
|
« Última modificación: 17 Junio 2011, 15:55 pm por pitoloko »
|
En línea
|
No he vuelto, solo estoy de paso.
|
|
|
|
Vjuan_
Desconectado
Mensajes: 137
|
no hay duda de que el proceso "taskeng.exe" en windows 7, es un virus, ya que este proceso, no existe en windows 7
si indicas la url del virus, entro, lo descargo y lo ejecuto en una VM, para despues analizarlo con antivirus y antispysware, y seguir su comportamiento, con monitorizadores de procesos.
por ultimo, estas en lo cierto, los troyanos solo crean un proceso, al menos, hasta donde sé, y con los que he hecho pruebas.
|
|
|
En línea
|
01001010 00100000 01000011 00100000 01000111
|
|
|
SuperDraco
Desconectado
Mensajes: 2.505
Crew Dragon
|
Rando eso no me sirve pero gracias, yo ya se que es algún tipo de virus o troyano... pero no se si estoy desinfectado porque el virus en si no lo reconoce ningún av de los que uso... Por otro lado, quizás lo has dicho para que virustotal mande la muestra a los AV's mMm eso quizás me sirva pero no se cual será el resultado ni lo que tardará en ser detectado... xD si indicas la url del virus, entro, lo descargo y lo ejecuto en una VM, para despues analizarlo con antivirus y antispysware, y seguir su comportamiento, con monitorizadores de procesos.
Hola, gracias por tu interés, este es el link: http://surfclear-media.biz/SQLyog.Ultimate.Edition.8.54.keygen.45064.exepor ultimo, estas en lo cierto, los troyanos solo crean un proceso, al menos, hasta donde sé, y con los que he hecho pruebas.
ni que lo digas, joder, la verdad es que que unvirus te cree más de 5 procesos, acojona...
|
|
|
En línea
|
No he vuelto, solo estoy de paso.
|
|
|
Slava_TZD
Wiki
Desconectado
Mensajes: 1.466
♪ [8675309] ♪
|
No lo detecta ningun AV como virus, xq no es un virus, es una app que intenta descargar uno. Salta como sospechoso xq está protegido. Intenta acceder a páginas como fivedo.in o servicetaxis.in para descargar troyanos, rogues...etc Mas info en donde Microsoft: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader:Win32/Renos.MJ
|
|
« Última modificación: 17 Junio 2011, 23:51 pm por Tzhed »
|
En línea
|
The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.
|
|
|
SuperDraco
Desconectado
Mensajes: 2.505
Crew Dragon
|
Intenta acceder a páginas como fivedo.in o servicetaxis.in para descargar troyanos, rogues...etc
me estás diciendo que esos procesos que crea el ejecutable podrian ser troyanos y ahora mismo puedo estar infectado por más de 5 troyanos diferentes!? (Voy a pasar otro scan enseguida, gracias) EDITO: ahora todo tiene más sentido, crea muchos procesos porque es un downloader, no habia caido en eso jaja.
|
|
« Última modificación: 17 Junio 2011, 23:55 pm por pitoloko »
|
En línea
|
No he vuelto, solo estoy de paso.
|
|
|
Slava_TZD
Wiki
Desconectado
Mensajes: 1.466
♪ [8675309] ♪
|
me estás diciendo que esos procesos que crea el ejecutable podrian ser troyanos y ahora mismo puedo estar infectado por más de 5 troyanos diferentes!?
(Voy a pasar otro scan enseguida, gracias)
Yo no he dicho eso. Dije que intenta acceder a esas páginas para descargar malware, mas info en la página de Microsoft que te dí.
|
|
|
En línea
|
The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.
|
|
|
Randomize
|
Es obvio que hay que conocer el funcionamiento de un troyano: recopilar información y abrir proceso de comunicación con el proceso padre.
También creo que es un downloader, es más fino y sofisticado de hecho pasa la protección web de la mayor parte de los antivirus.
|
|
|
En línea
|
|
|
|
.:UND3R:.
|
Lo más probable, es que sea un gusano o virus 0 day que para evitar que sea borrado crea otros procesos con nombres aleatóreos
una vez tuve algo parecido
si quieres hacer un teamviewer, aplícale a un privado Saludos
|
|
|
En línea
|
Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
|
|
|
Vjuan_
Desconectado
Mensajes: 137
|
descargé y ejecute el archivo (virus); SQLyog.Ultimate.Edition.8.54.keygen.45064, en una maquina virtual con SO Windows XP SP2, generó 5 archivos ejecutables(.exe),"Rcubaa.exe" "Rzy.exe" "Rzx.exe" "Rzv.exe" "Rzw.exe", la ruta del 1º C:\Windows\ , los cuatro restantes en una carpeta temporal...el exe en el momento de ejecutarlo o se autoeliminó o se ocultó, pero antes de ejecutar hice una copia y comprimi otra...
los ejecutables;"Rcubaa.exe" "Rzy.exe" "Rzx.exe" han creado cada uno un proceso, ademas "Rcubaa.exe" aparece a veces con dos subprocesos,se conectan a direcciones remotas atraves del puerto 80 (yo nunca logré hacer funcionar un server configurado con el puerto 80 para conectarse con el cliente), lo que mas me ha sorprendido es la gran cantidad de conexiones que abre cada proceso, simultanea y alternativamente, finalizando unas, y comenzando otras, a veces aparece tambien un proceso de nombre "Unknown" y tambien se conecta por el puerto 80, en cada sesion cambia la identidad del proceso (PID)...en todas las conexiones establecidas, la IP local es 10.0.2.15,,, decir tambien que estos procesos son faciles de terminarlos, y de localizarlos, atraves de un monitorizador de procesos.
Tambien ejecuté; SQLyog.Ultimate.Edition.8.54.keygen.45064, en otra maquina virtual con Windows Vista home premium, aquí todo es diferente, en el momento de ejecutarlo, el Avast pide abrirlo en Sandbox, detecta la URL maliciosa, y como nombre del objeto; fivedo.in/, (si bien cuando se analiza desde el menú contextual, el Avast no detecta nada), el comportamiento en windows vista es algo anormal el proceso que crea (solo uno) tiene el mismo nombre del ejecutable, e intenta una rara conexion remota 5.5.5.5, por el puerto 80, sin lograr establecerla, ya que se queda en el estado syn sent, en la siguiente sesion ni rastro del virus, para seguir observandolo hay que volver a ejecutar, previa desactivacion del Avast.....ahhh, pitoloko, el link del virus que has puesto, ahora mismo no funciona desde ningun navegador
|
|
« Última modificación: 19 Junio 2011, 00:19 am por Vjuan_ »
|
En línea
|
01001010 00100000 01000011 00100000 01000111
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Antivirus detecta dll como virus
Seguridad
|
WifliX
|
7
|
12,043
|
16 Junio 2010, 14:52 pm
por skapunky
|
|
|
Tengo un virus en mi pc que no me deja instalar ningun antivirus
Seguridad
|
williams1983
|
2
|
4,703
|
7 Abril 2012, 18:59 pm
por $Edu$
|
|
|
Mi antivirus detecta un virus al entrar a cualquier pagina
Seguridad
|
SMFSM
|
8
|
4,106
|
16 Diciembre 2014, 21:22 pm
por SMFSM
|
|
|
Nuevo hardward encontrado - Y no me detecta ningún virus
« 1 2 »
Windows
|
nichihack
|
14
|
7,114
|
20 Marzo 2017, 04:37 am
por Randomize
|
|
|
Este antivirus cataloga Windows como un virus
Noticias
|
wolfbcn
|
1
|
2,760
|
26 Abril 2017, 03:39 am
por Serapis
|
|