 |
| |||||||
 InfoSpyware sortea una T-Shirts |
| Participa en el sorteo por una
"Camiseta Oficial de InfoSpyware" gracias al amigo
Enjuto Mojamuto |
| Seguridad Informática Artículos sobre todo lo relacionados con seguridad informática. Tips, trucos, guías, consejos, recomendaciones y mas. (Solo lectura) |
 |
| | Herramientas |
 | 
20/12/07, 11:22:37
|  |
| ||||
| Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Google Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Google reduciendo sus beneficios BitDefender anuncia que los analistas antivirus han detectado un nuevo troyano que secuestra los banners de publicidad con texto de Google, reemplazándolos por anuncios de otro proveedor. La amenaza, identificada como Trojan.Qhost.WU, modifica el archivo Hosts del ordenador infectado modificando localmente las direcciones IP correspondientes a los dominios de los servidores publicitarios correspondientes. Este archivo es consultado antes de que el ordenador del usuario acceda a las páginas web. El archivo modificado contiene una línea que redirecciona al servidor de la página web "page2.googlesyndication.com" que podría apuntar a una dirección IP con forma 6x.xxx.xxx.xxx a una dirección diferente 9x.xxx.xxx.xxx. El resultado es que el navegador del equipo lee los anuncios desde el servidor modificado en lugar de los proporcionados por Google. Esta situación afecta tanto a usuarios como webmasters. Por un lado, los banners modificados pueden dirigir a los usuarios a páginas que contengan código malicioso. Por otro, los webmasters pueden ver reducidos los ingresos generados a través de sus páginas web, ya que sus visitantes visualizan anuncios que han sido boicoteados por el troyano en lugar de los anuncios originales. Fuente <<Nunca pierdas la esperanza de tus sueños>>      |
|
20/12/07, 20:36:49
| |
| ||||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Hola andresmix, Muchas gracias por compartir la noticia  Justamente en el día de hoy nos hicieron llegar unas muestras a nuestro Canal 33 de InfoSpyware en BC las cuales estaba analizando y hasta ahora los resultados de este malwares son los siguientes: ------------- El Malware QHost se distribuye en un archivos infectador llamado Host.exe el cual al entrar en nuestras PCs se renombra como Svchost.exe (suplantando al archivo Svchost.exe legitimo de nuestro sistema) La idea consiste en desviar el archivo de Host de modo que las búsquedas Google puedan ser redirigidas a 194.54.90.238. al igual que redireccionar los anuncios de Google si nuestra maquina se encuentra infectada. El malware renombrara a nuestro archivo original con el nombre de svchost.exe.bak y también genera otro copia de si mismo con el nombre de svchost.exe.orig Por lo que cuando nuestro sistema esta infectado quedaría con estos archivos:
Donde podemos contagiarnos de este del Malware QHost ??
Cita:
Análisis del archivos infectados con Virus-Total: Análisis del archivo svchost.exe recibido el 21.12.2007 01:32:44 (CET) Código: Motor antivirus Versión Última actualización Resultado AhnLab-V3 2007.12.21.10 2007.12.20 - AntiVir 7.6.0.46 2007.12.20 HEUR/Malware Authentium 4.93.8 2007.12.20 - Avast 4.7.1098.0 2007.12.20 - AVG 7.5.0.503 2007.12.20 - BitDefender 7.2 2007.12.21 - CAT-QuickHeal 9.00 2007.12.20 - ClamAV 0.91.2 2007.12.21 - DrWeb 4.44.0.09170 2007.12.20 Trojan.Qhost.45080 eSafe 7.0.15.0 2007.12.20 - eTrust-Vet 31.3.5390 2007.12.20 - Ewido 4.0 2007.12.20 - FileAdvisor 1 2007.12.21 - Fortinet 3.14.0.0 2007.12.20 - F-Prot 4.4.2.54 2007.12.20 W32/Heuristic-166!Eldorado F-Secure 6.70.13030.0 2007.12.20 - Ikarus T3.1.1.15 2007.12.21 - Kaspersky 7.0.0.125 2007.12.21 Trojan.Win32.Qhost.abm McAfee 5190 2007.12.20 - Microsoft 1.3109 2007.12.20 - NOD32v2 2739 2007.12.20 - Norman 5.80.02 2007.12.20 - Panda 9.0.0.4 2007.12.20 - Prevx1 V2 2007.12.21 - Rising 20.23.32.00 2007.12.20 - Sophos 4.24.0 2007.12.20 - Sunbelt 2.2.907.0 2007.12.21 - Symantec 10 2007.12.21 - TheHacker 6.2.9.166 2007.12.20 - VBA32 3.12.2.5 2007.12.20 - VirusBuster 4.3.26:9 2007.12.20 - Webwasher-Gateway 6.6.2 2007.12.21 Heuristic.Malware Información adicional Tamano archivo: 17713 bytes MD5: 27a66e757bacfe26dad1bd4be16bc340 SHA1: ead9a6b3e83cdbe65462988c695a517186eccedf PEiD: - Análisis del archivo host.exe recibido el 21.12.2007 01:36:49 (CET) Código: AhnLab-V3 2007.12.21.10 2007.12.20 - AntiVir 7.6.0.46 2007.12.20 TR/Crypt.XPACK.Gen Authentium 4.93.8 2007.12.20 - Avast 4.7.1098.0 2007.12.20 - AVG 7.5.0.503 2007.12.20 SHeur.AHOR BitDefender 7.2 2007.12.21 BehavesLike:Win32.Malware CAT-QuickHeal 9.00 2007.12.20 Trojan.Qhost.acb ClamAV 0.91.2 2007.12.21 - DrWeb 4.44.0.09170 2007.12.20 Trojan.Qhost.45080 eSafe 7.0.15.0 2007.12.20 Suspicious File eTrust-Vet 31.3.5390 2007.12.20 - Ewido 4.0 2007.12.20 - FileAdvisor 1 2007.12.21 - Fortinet 3.14.0.0 2007.12.20 W32/Qhost.ABM!tr F-Prot 4.4.2.54 2007.12.20 W32/Heuristic-162!Eldorado F-Secure 6.70.13030.0 2007.12.20 Trojan.Win32.Qhost.acb Ikarus T3.1.1.15 2007.12.21 Trojan.Win32.Qhost.acb Kaspersky 7.0.0.125 2007.12.21 Trojan.Win32.Qhost.acb McAfee 5190 2007.12.20 - Microsoft 1.3109 2007.12.20 Trojan:Win32/Anomaly.gen!A NOD32v2 2739 2007.12.20 - Norman 5.80.02 2007.12.20 W32/Qhost.CYD Panda 9.0.0.4 2007.12.20 - Prevx1 V2 2007.12.21 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile Rising 20.23.32.00 2007.12.20 Trojan.Win32.QHost.abc Sophos 4.24.0 2007.12.20 - Sunbelt 2.2.907.0 2007.12.21 Trojan.Crypt.XPACK.Gen Symantec 10 2007.12.21 - TheHacker 6.2.9.166 2007.12.20 Trojan/Qhost.acb VBA32 3.12.2.5 2007.12.20 Trojan.Qhost.45080 VirusBuster 4.3.26:9 2007.12.20 Trojan.DR.QHosts.CQ Webwasher-Gateway 6.6.2 2007.12.21 Trojan.Crypt.XPACK.Gen Información adicional Tamano archivo: 5174 bytes MD5: 08e0af8f1bcbf42de37e3678ba9179e4 SHA1: 2de83eb25937cde1574c0e08e19bac34819480b1 PEiD: - packers: PecBundle, PECompact Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=92EF54B8360460EB1420008465CB98004E4A3EC4 Como el malware se encarga de alterar nuestro archivos Host para poder redireccionar no solo en las publicidades de Google sino también en los resultados de sus búsquedas, si ejecutamos HijackThis podremos ver dentro del log: Reporte de HijackThis infectado por Malware QHost Código: O1 - Hosts: 194.54.90.238 www.google.com O1 - Hosts: 194.54.90.238 www.google.ca O1 - Hosts: 194.54.90.238 www.google.com.ag O1 - Hosts: 194.54.90.238 www.google.com.ar O1 - Hosts: 194.54.90.238 www.google.com.au O1 - Hosts: 194.54.90.238 www.google.at O1 - Hosts: 194.54.90.238 www.google.az O1 - Hosts: 194.54.90.238 www.google.be O1 - Hosts: 194.54.90.238 www.google.com.br O1 - Hosts: 194.54.90.238 www.google.vg O1 - Hosts: 194.54.90.238 www.google.bi O1 - Hosts: 194.54.90.238 www.google.ca O1 - Hosts: 194.54.90.238 www.google.td O1 - Hosts: 194.54.90.238 www.google.cl O1 - Hosts: 194.54.90.238 www.google.com.co O1 - Hosts: 194.54.90.238 www.google.co.cr O1 - Hosts: 194.54.90.238 www.google.dk O1 - Hosts: 194.54.90.238 www.google.com.do O1 - Hosts: 194.54.90.238 www.google.fm O1 - Hosts: 194.54.90.238 www.google.fi O1 - Hosts: 194.54.90.238 www.google.fr O1 - Hosts: 194.54.90.238 www.google.gm O1 - Hosts: 194.54.90.238 www.google.ge O1 - Hosts: 194.54.90.238 www.google.de O1 - Hosts: 194.54.90.238 www.google.com.gi O1 - Hosts: 194.54.90.238 www.google.com.gr O1 - Hosts: 194.54.90.238 www.google.gl O1 - Hosts: 194.54.90.238 www.google.gg O1 - Hosts: 194.54.90.238 www.google.co.il O1 - Hosts: 194.54.90.238 www.google.it O1 - Hosts: 194.54.90.238 www.google.co.kr O1 - Hosts: 194.54.90.238 www.google.lu O1 - Hosts: 194.54.90.238 www.google.mw O1 - Hosts: 194.54.90.238 www.google.ro O1 - Hosts: 194.54.90.238 www.google.se O1 - Hosts: 194.54.90.238 www.google.co.uk O1 - Hosts: 194.54.90.238 www.google.uz O1 - Hosts: 194.54.90.238 google.com O1 - Hosts: 194.54.90.238 google.ca O1 - Hosts: 194.54.90.238 google.com.ag O1 - Hosts: 194.54.90.238 google.com.ar O1 - Hosts: 194.54.90.238 google.com.au O1 - Hosts: 194.54.90.238 google.at O1 - Hosts: 194.54.90.238 google.az O1 - Hosts: 194.54.90.238 google.be O1 - Hosts: 194.54.90.238 google.com.br O1 - Hosts: 194.54.90.238 google.vg O1 - Hosts: 194.54.90.238 google.bi O1 - Hosts: 194.54.90.238 google.ca O1 - Hosts: 194.54.90.238 google.td O1 - Hosts: 194.54.90.238 google.cl O1 - Hosts: 194.54.90.238 google.com.co O1 - Hosts: 194.54.90.238 google.co.cr O1 - Hosts: 194.54.90.238 google.dk O1 - Hosts: 194.54.90.238 google.com.do O1 - Hosts: 194.54.90.238 google.fm O1 - Hosts: 194.54.90.238 google.fi O1 - Hosts: 194.54.90.238 google.fr O1 - Hosts: 194.54.90.238 google.gm O1 - Hosts: 194.54.90.238 google.ge O1 - Hosts: 194.54.90.238 google.de O1 - Hosts: 194.54.90.238 google.com.gi O1 - Hosts: 194.54.90.238 google.com.gr O1 - Hosts: 194.54.90.238 google.gl O1 - Hosts: 194.54.90.238 google.gg O1 - Hosts: 194.54.90.238 google.co.il O1 - Hosts: 194.54.90.238 google.it O1 - Hosts: 194.54.90.238 google.co.kr O1 - Hosts: 194.54.90.238 google.lu O1 - Hosts: 194.54.90.238 google.mw O1 - Hosts: 194.54.90.238 google.ro O1 - Hosts: 194.54.90.238 google.se O1 - Hosts: 194.54.90.238 google.co.uk O1 - Hosts: 194.54.90.238 google.uz O1 - Hosts: 194.54.90.238 search.yahoo.com O1 - Hosts: 194.54.90.238 de.search.yahoo.com O1 - Hosts: 194.54.90.238 search.msn.com O1 - Hosts: 194.54.90.238 search.msn.de O1 - Hosts: 194.54.90.238 search.live.com O1 - Hosts: Ðm ìð «7‘ ------------------- Cita:
Ausente por vacaciones hasta el 8/7/08 - Twitteando... Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
22/12/07, 11:35:33
| |
| ||||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Creo que este es un caso de este troyano: ¿Como elimino un troyano con Hijackthis? Corrijanme si me equivoco. Saludos  |
![Avatar de [LinkinPark]](http://www.forospyware.com/avatars/372247.gif?dateline=1206110410)
|
23/12/07, 16:10:36
| |
| ||||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Cita:
El Malware Delf si bien en ese caso modifico el archivo host del usuario esto no es tan común en todas sus variantes, pero si tiene muchas y es parte de una gran familia de malwares que desde hace tiempo se sigue mejorando y cambiando para hacer mas difícil su detección y eliminación. Una de las variantes que podes encontrar en el foro de Delf.BHO que mas se están dando últimamente es la de las redirecciones de los resultados de Google hacia un sitio llamado "Search-Daily" Este es muy difícil de eliminar ya que usa técnicas de Rootkit par esconder sus archivos y procesos del escaneo normal de un Antivirus. En HijackThis lo podemos ver su archivo aleatorio en las entradas 02 y en ocasiones en entradas 04 y 020, pero no podemos ver los otros archivos Rootkits con este así como tampoco podemos borrar los archivos ya que el Rootkit los vuelve a generar y para eso ya necesitamos el uso de otras herramientas. Salu2 Ausente por vacaciones hasta el 8/7/08 - Twitteando... Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
07/01/08, 10:27:58
| |
| ||||
 Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Hola, muy buenas! Lo de la modificación en los archivos hosts no lo entiendo muy bien.. se que si en mi archivo host escribo una linea con la dirección del sitio web y la ip localhost (127.0.0.1) me bloquea la entrada a ese sitio web, una utilidad muy util con paginas maliciosas que utiliza spybot.. Pero lo que no entiendo es que función tiene cuando pone la direccion web y una ip diferente, te redirecciona a esa ip al entrar en la direccion web o como es esto?? Por ejemplo el caso 1: O1 - Hosts: 194.54.90.238 www.google.com Quiere decir que si entro en http://www.google.com/ me va a redireccionar a 194.54.90.238?????? Contesten plis! Un saludo y gracias por la ayuda. Última edición por ferlahozseg fecha: 07/01/08 a las 10:31:18. |
|
14/01/08, 20:26:55
| |
| ||||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Hola ferlahozseg, Respondiendo a tu pregunta, la respuesta es SI.  Mediante el archivo HOST de Win podemos tanto bloquear el acceso a determinado sitio web o redirigir de uno a otro como pones en tu ejemplo. Esta modificación es muy común por varios tipos de malware y sobre todos los con funciones de Hijackers que se apoderan de las paginas de inicio y los resultados de las búsquedas. Para limpiar el archivo Host, contamos con una herramienta de nuestra creación llamada IniRem Salu2 Ausente por vacaciones hasta el 8/7/08 - Twitteando... Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
18/01/08, 18:56:25
| |
| ||||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Muchas gracias por la información!! |
|
22/01/08, 09:10:06
| |
| |||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Si tienes linux en tu PC no tienes de que preocuparte de que se te infecte tu computadora o no. |
|
26/01/08, 13:30:40
| |
| ||||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Bueno me parece una informacion muy buena, muy buena, ahora lo que me llama la intencion es el pensamiento que estan tomando los crackers con sus malware, que es usar y dirijirse a lo que usa mas el usuario en la web, por ejemplo el navegador IE, el buscador GOOGLE, el messenger MSN LIVE, y asi, creo que pues las compañias de seguridad como antivirus y proteccion informatica deberian de dar mas consejos o darlos a conocer a los navegadores. |
|
06/03/08, 10:05:28
| |
| |||
| Re: Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Go Wow, probablemente este era el virus lesbiano que me afectaba. Aparecía en cualquier página con publicidad. Se me hizo sospechoso que ese banner estuviese en páginas todo público. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
| |
|
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| calentamiento global | axl456 | Off-Topic | 35 | 01/06/08 21:12:47 |
| Te baneo!!!!!!!!!!!!!!!! | Death Side | Off-Topic | 14752 | 24/12/07 08:22:18 |
| Buscador secuestra los resultados de yahoo o Google. (Terminado) | EverBond | Temas Solucionados | 8 | 06/09/07 10:46:11 |
| Nuevo Usuario con Varios Virus | Hiei | Foro de Virus y Spywares | 8 | 21/04/07 05:35:43 |
| tenco un problema con la bara de tarea (solucionado) | mohadip | Temas Solucionados | 9 | 04/12/05 20:02:32 |
Todas las horas son GMT -4. La hora es 00:09:52.
