Resultados 1 al 8 de 8

Tema: ¿Alguien conoce este virus?

  1. txakurra
    txakurra está desconectado
    Usuario registrado CV
    Fecha de ingreso
    05 feb, 05
    Ubicación
    ES
    Mensajes
    8,213

    ¿Alguien conoce este virus?

    Pues antes se me ha colado un Indeseado que me ha dejado fuera de combate al antivirus y a otro programa de limpieza (que ha quedado peor parado que el otro). A pesar de que creo que lo he erradicado por completo, me queda la duda sobre qué era y qué hacía ese desgraciado a parte de obligarme a reinstalar dos programas y perder un montón de tiempo analizando los discos duros.

    La cuestión es la siguiente. He descargado un archivo que venía comprimido en un rar, diréctamente desde winrar. Por lo general, mi antivirus (uso McAfee, del 2006) detecta los Indeseados al abrir el archivo comprimido o, en su defecto, nada más ejecutar el archivo infectado (más parecía un absceso que un archivo). Pero esta vez no ha sido así. Al abrir el ejecutable el icono de McAfee ha pasado de rojo a negro, indicando que estaba inactivo. Diréctamente he mandado a la mierda el rar y he desconectado el RJ-45 del router.
    Por más que le daba al McAfee no se activaba, pero era funcional (vamos, podía escanear y desinfectar archivos) así que inmediatamente lo he puesto a analizar, aún sabiendo que si el antivirus estaba infectado me podría destrozar todos los archivos que tocara. Antes de empezar me había dado cuenta de la presencia de extraños archivos temporales en C: de 0 KB y cuyo nombre eran dos dígitos en hexadecimal. Los he borrado nada más ver que eso antes no estaba.
    El VirusScan me ha encontrado un Indeseable en el ejecutable del RegSupreme Pro, cosa que nunca había salido y que no me parecía normal. Era el NewMalware.aj. Como no me lo conseguía desinfectar y como paso de poner nada en cuarentena he eliminado el ejecutable. La aplicación ha salido mal parada porque ahora me toca reinstalarla. Al no conseguir de ninguna manera solucionar lo del McAfee, lo he desinstalado y vuelto a instalar y ya parece que va bien (al menos ahora el icono sale en rojo e indica que VirusScan está activo).

    Pero mi duda no es sobre cómo averiguar si mi sistema está completamente limpio. Mi duda es sobre qué tipo de Indeseable es ése, qué hace a qué ataca, etc. Tengo curiosidad por saber qué es lo que me ha hecho perder el tiempo.


    P.D.: Indeseable = virus.

  2. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    pues aunque te parezca mentira hay virus que desactivan el residente del antivirus que seguramente es lo que te hizo a ti y luego campan a sus anchas por el sistema.
    No puedo hablarte del código que usan porque lo desconozco pero si se que existen y que no eres el primero en ser infectado por ese malware.

    Puedes mirar en el log del McAffe para ver que fue lo que paso aunque si el residente se cerró poco se podrá hacer.

    En cuanto a los .rar pues es muy muy muy común meter malware en cracks, serials, incluso hay gente tan retorcida que te mete en un rar por ejemplo un manual de lo que sea un .pdf y junto a el un .exe con un nombre que atraiga a la gente para ejecutarlo...lo ejecutas y zas..!! infectado.

    Muchos residentes de antivirus, por no decir todos, rastrean cuando descomprimes y cuando ejecutas pero rara vez lo hacen antes de hacer cualquiera de las dos cosas anteriores.
    Mucha gente tiene la mania de en vez de descomprimir el .rar por ejemplo en el escritorio, lo ejecuta directamente desde el gestor de ficheros o archivos del .rar, si tu residente es poco listo, que los hay, no rastrea el fichero antes de ejecutarlo puesto que todavia esta comprimido, solo si tu lo ejecutas detendrá la operación indicandote que el fichero esta infectado. Por eso lo recomendable es descomprimirlo correctamente,incluso abrir la carpeta de lo que has descomprimido o pasar con el puntero por encima del fichero o ficheros para que el antivirus detecte que lo que tu estas viendo esta infectado (o no) sin tener la necesidad de ejecutarlo.


    Mira estos enlaces puede que alguno de estos malwares sea el tuyo pero es que hay cientos de miles de códigos maliciosos, ese es el problema igual el tuyo es nuevo...a saber txakurra xD


    http://www.vsantivirus.com/mockbot-a.htm

    puedes probar las utilidades que ofrecen en este enlace durante el post, aunque yo no puedo recomendarlas porque son de uso exclusivo de esa página:
    http://foros.zonavirus.com/ver-siguient ... ?view=next


    De todas formas siempre es recomendable pasar alguna herramienta online.
    Te dejo un antivirus online y se lo pasas si quieres y nos pegas el reporte o tu mismo compruebas el log

    kaspersky online

  3. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    Se me ovlidó decirte que muchos programas incorporan malware y que aparantemente decimos, joe si el programa es la bomba, pero mucho cuidado con lo que instalamos.
    Ejemplos:

    messenger plus!
    bsplayer

    etc..

  4. txakurra
    txakurra está desconectado
    Usuario registrado CV
    Fecha de ingreso
    05 feb, 05
    Ubicación
    ES
    Mensajes
    8,213
    Cita Iniciado por AngelCaidox
    Se me ovlidó decirte que muchos programas incorporan malware y que aparantemente decimos, joe si el programa es la bomba, pero mucho cuidado con lo que instalamos.
    Ejemplos:

    messenger plus!
    bsplayer

    etc..
    Sí, lo sé. A mí me detectaba el WebCopier como PUP.
    Pues la verdad debía de ser nuevo porque no encontré información ni en la página de McAfee ni en la de Panda (que, por cierto, ayer puse el online de éste a analizar un rato pero lo acabé cancelando por lo lento que iba).

    Que yo sepa este antivirus no guarda ningún registro, así que poco puedo hacer salvo volver a descargar el rar de marras y analizarlo para ver si lo detecta.

    Al abrir los RAR es cuando suele analizar el archivo y avisarte antes de hacer nada (eso si el archivo no es muy tocho, pero este no era el caso) o, si ejecutas la descompresión desde el menú contextual del explorador, salta (provocándole un error al winrar "durante la descompresión" :lol: ). Eso sin contar que a veces va por libre, analizando archivos y avisándote si están podridos, sin haber abierto en la vida el archivo o carpeta. A más tardar te avisa al abrilo diréctamente desde WinRAR, ya que lo descomprime en la carpeta de los temporales y lo ejecuta desde ahí (como tiene el ScriptStopper debería detectar que un programa está mandando a windows ejecutar un archivo, por lo que debería analizarlo, creo yo).

    De todas formas no he experimentado nada anormal desde ayer (tampoco es que hubiera cosas raras cuando se infectó). Sólo que al tener que reinstalar el antivirus ahora tiene que volver a familiarizarse con las carpetas más usadas (en el primer acceso analiza todos los archivos y luego sólo los nuevos y/o los que presenten cambios). Estaré un par de días con ralentizones al abrir carpetas y archivos, como siempre que formateo e instalo el antivirus, pero nada más.


    A mí me da que este virus no era nada más que un ariete para abrir la puerta junto con un petardo para RegSupreme Pro, para acceder fácilmente a parte del sistema (al registro, a la lista de programas de inicio, los instalados, etc).

  5. txakurra
    txakurra está desconectado
    Usuario registrado CV
    Fecha de ingreso
    05 feb, 05
    Ubicación
    ES
    Mensajes
    8,213
    Acabo de redescargar el archivo, le he pasado el antivirus sin descomprimir y no detecta nada. Lo descomprimo, le vuelvo a pasar el antivirus y sigue sin detectar nada. Le he pasado el panda online y ha detectado un Indeseable. Dice que es el SpyForms.AR. Para mí que realmente lo que descargué llevaba dos virus. Éste y el NewMalware.aj. Seguramente su función era como he dicho. Uno abre la puerta y el otro ataca.

  6. AngelCaidox
    AngelCaidox está desconectado
    Usuario registrado CV Avatar de AngelCaidox
    Fecha de ingreso
    30 dic, 04
    Ubicación
    Llodio(Alava)
    Mensajes
    6,499
    mmm pues eso indica que ese virus no esta en las firmas del McAffe y eso es un problema, la verdad que otra cosa nose pero los antivirus online es lo bueno que tienen.

    Pues yo me pensaria realmente si merece la pena el McAffe o no.

    Si me dices la ruta o me pasas el .rar te comento si el AVG me detecta algo.
    Mandame un mp si quieres con el link o me lo pasas pro el msn

  7. carlVERX
    carlVERX está desconectado
    Usuario registrado CV
    Fecha de ingreso
    08 may, 07
    Mensajes
    1,672
    por favor dime el nombre del rar para bajarmelo

    saludos

  8. aCEn
    aCEn está desconectado
    Usuario registrado CV Avatar de aCEn
    Fecha de ingreso
    28 dic, 03
    Ubicación
    Sevilla, ciudad del Betis
    Mensajes
    941
    Cita Iniciado por carlVERX
    por favor dime el nombre del rar para bajarmelosaludos
    Si despues pringas por haber trasteado con él ...

    xDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD