Tema: ¿Alguien conoce este virus?

Pues antes se me ha colado un Indeseado que me ha dejado fuera de combate al antivirus y a otro programa de limpieza (que ha quedado peor parado que el otro). A pesar de que creo que lo he erradicado por completo, me queda la duda sobre qué era y qué hacía ese desgraciado a parte de obligarme a reinstalar dos programas y perder un montón de tiempo analizando los discos duros.

La cuestión es la siguiente. He descargado un archivo que venía comprimido en un rar, diréctamente desde winrar. Por lo general, mi antivirus (uso McAfee, del 2006) detecta los Indeseados al abrir el archivo comprimido o, en su defecto, nada más ejecutar el archivo infectado (más parecía un absceso que un archivo). Pero esta vez no ha sido así. Al abrir el ejecutable el icono de McAfee ha pasado de rojo a negro, indicando que estaba inactivo. Diréctamente he mandado a la mierda el rar y he desconectado el RJ-45 del router.
Por más que le daba al McAfee no se activaba, pero era funcional (vamos, podía escanear y desinfectar archivos) así que inmediatamente lo he puesto a analizar, aún sabiendo que si el antivirus estaba infectado me podría destrozar todos los archivos que tocara. Antes de empezar me había dado cuenta de la presencia de extraños archivos temporales en C: de 0 KB y cuyo nombre eran dos dígitos en hexadecimal. Los he borrado nada más ver que eso antes no estaba.
El VirusScan me ha encontrado un Indeseable en el ejecutable del RegSupreme Pro, cosa que nunca había salido y que no me parecía normal. Era el NewMalware.aj. Como no me lo conseguía desinfectar y como paso de poner nada en cuarentena he eliminado el ejecutable. La aplicación ha salido mal parada porque ahora me toca reinstalarla. Al no conseguir de ninguna manera solucionar lo del McAfee, lo he desinstalado y vuelto a instalar y ya parece que va bien (al menos ahora el icono sale en rojo e indica que VirusScan está activo).

Pero mi duda no es sobre cómo averiguar si mi sistema está completamente limpio. Mi duda es sobre qué tipo de Indeseable es ése, qué hace a qué ataca, etc. Tengo curiosidad por saber qué es lo que me ha hecho perder el tiempo.


P.D.: Indeseable = virus.

pues aunque te parezca mentira hay virus que desactivan el residente del antivirus que seguramente es lo que te hizo a ti y luego campan a sus anchas por el sistema.
No puedo hablarte del código que usan porque lo desconozco pero si se que existen y que no eres el primero en ser infectado por ese malware.

Puedes mirar en el log del McAffe para ver que fue lo que paso aunque si el residente se cerró poco se podrá hacer.

En cuanto a los .rar pues es muy muy muy común meter malware en cracks, serials, incluso hay gente tan retorcida que te mete en un rar por ejemplo un manual de lo que sea un .pdf y junto a el un .exe con un nombre que atraiga a la gente para ejecutarlo...lo ejecutas y zas..!! infectado.

Muchos residentes de antivirus, por no decir todos, rastrean cuando descomprimes y cuando ejecutas pero rara vez lo hacen antes de hacer cualquiera de las dos cosas anteriores.
Mucha gente tiene la mania de en vez de descomprimir el .rar por ejemplo en el escritorio, lo ejecuta directamente desde el gestor de ficheros o archivos del .rar, si tu residente es poco listo, que los hay, no rastrea el fichero antes de ejecutarlo puesto que todavia esta comprimido, solo si tu lo ejecutas detendrá la operación indicandote que el fichero esta infectado. Por eso lo recomendable es descomprimirlo correctamente,incluso abrir la carpeta de lo que has descomprimido o pasar con el puntero por encima del fichero o ficheros para que el antivirus detecte que lo que tu estas viendo esta infectado (o no) sin tener la necesidad de ejecutarlo.


Mira estos enlaces puede que alguno de estos malwares sea el tuyo pero es que hay cientos de miles de códigos maliciosos, ese es el problema igual el tuyo es nuevo...a saber txakurra xD


http://www.vsantivirus.com/mockbot-a.htm

puedes probar las utilidades que ofrecen en este enlace durante el post, aunque yo no puedo recomendarlas porque son de uso exclusivo de esa página:
http://foros.zonavirus.com/ver-siguient ... ?view=next


De todas formas siempre es recomendable pasar alguna herramienta online.
Te dejo un antivirus online y se lo pasas si quieres y nos pegas el reporte o tu mismo compruebas el log

kaspersky online

Se me ovlidó decirte que muchos programas incorporan malware y que aparantemente decimos, joe si el programa es la bomba, pero mucho cuidado con lo que instalamos.
Ejemplos:

messenger plus!
bsplayer

etc..

Iniciado por AngelCaidox

Se me ovlidó decirte que muchos programas incorporan malware y que aparantemente decimos, joe si el programa es la bomba, pero mucho cuidado con lo que instalamos.
Ejemplos:

messenger plus!
bsplayer

etc..

Sí, lo sé. A mí me detectaba el WebCopier como PUP.
Pues la verdad debía de ser nuevo porque no encontré información ni en la página de McAfee ni en la de Panda (que, por cierto, ayer puse el online de éste a analizar un rato pero lo acabé cancelando por lo lento que iba).

Que yo sepa este antivirus no guarda ningún registro, así que poco puedo hacer salvo volver a descargar el rar de marras y analizarlo para ver si lo detecta.

Al abrir los RAR es cuando suele analizar el archivo y avisarte antes de hacer nada (eso si el archivo no es muy tocho, pero este no era el caso) o, si ejecutas la descompresión desde el menú contextual del explorador, salta (provocándole un error al winrar "durante la descompresión" :lol: ). Eso sin contar que a veces va por libre, analizando archivos y avisándote si están podridos, sin haber abierto en la vida el archivo o carpeta. A más tardar te avisa al abrilo diréctamente desde WinRAR, ya que lo descomprime en la carpeta de los temporales y lo ejecuta desde ahí (como tiene el ScriptStopper debería detectar que un programa está mandando a windows ejecutar un archivo, por lo que debería analizarlo, creo yo).

De todas formas no he experimentado nada anormal desde ayer (tampoco es que hubiera cosas raras cuando se infectó). Sólo que al tener que reinstalar el antivirus ahora tiene que volver a familiarizarse con las carpetas más usadas (en el primer acceso analiza todos los archivos y luego sólo los nuevos y/o los que presenten cambios). Estaré un par de días con ralentizones al abrir carpetas y archivos, como siempre que formateo e instalo el antivirus, pero nada más.


A mí me da que este virus no era nada más que un ariete para abrir la puerta junto con un petardo para RegSupreme Pro, para acceder fácilmente a parte del sistema (al registro, a la lista de programas de inicio, los instalados, etc).

Acabo de redescargar el archivo, le he pasado el antivirus sin descomprimir y no detecta nada. Lo descomprimo, le vuelvo a pasar el antivirus y sigue sin detectar nada. Le he pasado el panda online y ha detectado un Indeseable. Dice que es el SpyForms.AR. Para mí que realmente lo que descargué llevaba dos virus. Éste y el NewMalware.aj. Seguramente su función era como he dicho. Uno abre la puerta y el otro ataca.

mmm pues eso indica que ese virus no esta en las firmas del McAffe y eso es un problema, la verdad que otra cosa nose pero los antivirus online es lo bueno que tienen.

Pues yo me pensaria realmente si merece la pena el McAffe o no.

Si me dices la ruta o me pasas el .rar te comento si el AVG me detecta algo.
Mandame un mp si quieres con el link o me lo pasas pro el msn

por favor dime el nombre del rar para bajarmelo

saludos

Iniciado por carlVERX

por favor dime el nombre del rar para bajarmelosaludos

Si despues pringas por haber trasteado con él ...

xDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD