Alerta Troyano Win32:Mabezat en Pendrive

Troyano W32.Mabezat.
Revisando un pendrive me encontré con un troyano en 2 archivos:

WindowsXp StartMenu Settings.exe

MakeUrOwnFamilyTree.exe

W32.Mabezat:
Mabezat.B es un gusano de puerta trasera que se propaga a través de unidades compartidas de red y permite a los atacantes el acceso y permite un control total sobre la computadora infectada.
Es un gusano que se propaga a través de múltiples métodos. El gusano tiene la capacidad de infectar archivos ejecutables (Fuente: Symantec)


Este troyano aparece reportado en el Top 20 de programas maliciosos detectados en junio, de Kaspersky Lab
http://www.viruslist.com/sp/analysis?pubid=207271082

En http://virusscan.jotti.org/es se reportan diversas variantes detectadas por varios antivirus

- W32.Mabezat-2
- W32.Mabezat.Dr
- W32.W.Mabezat.B
- W32/Mabezat-B
- W32/Mabezat.A
- W32/Mabezat.C.worm
- Win32:Mabezat
- Win32.HLLW.Tazebama
- Win32.Worm.Mabezat
- Win32.Worm.Mabezat.J
- Win32/Mabezat.A
- Worm.Generic.256883
- Worm.Mabezat.A
- Worm.Win32.Mabezat
- Worm.Win32.Mabezat.b
- Worm/Autorun.378127
- Worm/Mabezat.A
- Worm/Mabezat.b

Resultado de escanear el archivo WindowsXp StartMenu Settings.exe desde http://virusscan.jotti.org/es

	2010-07-24 No se encontró nada		2010-07-24 Worm.Generic.256883
	2010-07-24 Win32:Mabezat		2010-07-24 Win32.Worm.Mabezat
	2010-07-24 Worm/Mabezat.A		2010-07-24 Worm.Win32.Mabezat.b
	2010-07-23 Worm/Autorun.378127		2010-07-24 Win32/Mabezat.A
	2010-07-24 Worm.Generic.256883		2010-07-24 W32/Mabezat.C.worm
	2010-07-24 W32.Mabezat-2		2010-07-23 W32.Mabezat.Dr
	2010-07-24 W32.W.Mabezat.B		2010-07-24 W32/Mabezat-B
	2010-07-24 Win32.HLLW.Tazebama		2010-07-23 Worm.Win32.Mabezat.b
	2010-07-24 W32/Mabezat.A		2010-07-24 Worm.Mabezat.A
	2010-07-24 Worm.Win32.Mabezat.b

Resultado de escanear el archivo MakeUrOwnFamilyTree.exe desde http://virusscan.jotti.org/es

	2010-07-25 No se encontró nada		2010-07-24 Win32.Worm.Mabezat.J
	2010-07-24 Win32:Mabezat		2010-07-24 Worm.Win32.Mabezat
	2010-07-24 Worm/Mabezat.A		2010-07-24 Worm.Win32.Mabezat.b
	2010-07-23 Worm/Mabezat.b		2010-07-24 Win32/Mabezat.A
	2010-07-24 Win32.Worm.Mabezat.J		2010-07-24 W32/Mabezat.C.worm
	2010-07-24 W32.Mabezat-2		2010-07-23 W32.Mabezat.Dr
	2010-07-24 W32.W.Mabezat.B		2010-07-24 W32/Mabezat-B
	2010-07-24 Win32.HLLW.Tazebama		2010-07-23 Worm.Win32.Mabezat.b
	2010-07-24 W32/Mabezat.A		2010-07-24 Worm.Mabezat.A
	2010-07-24 Worm.Win32.Mabezat.b

Como eliminar el Troyano W32.Mabezat.

Revisando en la web encontré esto en forospyware.com:
http://www.forospyware.com/t331262.html

1.- Descarga UsbFix By Chiquitine29.
Cuidado: Al parecer el archivo esta limpio, pero en http://virusscan.jotti.org/es todos los antivirus NO encontraron virus. Pero ClamaAV reporto un gusano (Worm.Autoit-36). Puede ser un falso positivo. Yo lo probaria.

2.- Iniciar en Modo Seguro. (ver como en forospyware)

3.- Ejecutar UsbFix.exe, realiza lo indicado:
- Conecte todos sus dispositivos extraibles, Pendrive\Micro SD, etc.
- Haga doble Click sobre USBFix
- Elija el idioma que desea, si es Castellano pulse C
- Seguido teclee la opción 2 - Eliminar \ Deleting
- El proceso de desinfección se iniciará, el ordenador se reiniciará.
- Cuando Windows inicie, USBFix, arrancará en automático, para complementar el proceso de desinfección y vacunación.
- USBFix, genera un reporte, el cual se encuentra generalmente en C:\USBFix.txt
Nota: UsbFix creará una carpeta oculta llamada "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudará a proteger sus dispositivos USB de futuras infecciones.

4.- Realizar un análisis Online de la siguiente manera:
4.1.- Descarga y ejecuta Ccleaner, usando primero su opción de "Limpiador" para borrar cookies y temporales de Internet.
Después usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
4.2.- Realizas un análisis en linea, aquí tienes varias antivirus online:
Panda ActiveScan Online
ESET (Nod32) Online Scanner
BitDefender QuickScan
Kaspersky Antivirus Online

5.- Utilizar FileASSASSIN si el troyano se resite (ver como en forospyware)

Espero les de buenos resultados

ANEXO. Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio

Posición	Programma nocivo	Cantidad de equipos infectados
1	Net-Worm.Win32.Kido.ih	58200
2	Virus.Win32.Sality.aa	28758
3	Trojan-Dropper.Win32.Flystud.ko	13064
4	Trojan-Downloader.Win32.VB.eql	12395
5	Worm.Win32.AutoRun.dui	8934
6	Trojan.Win32.Autoit.ci	8662
7	Virus.Win32.Virut.ce	6197
8	Worm.Win32.Mabezat.b	5967
9	Net-Worm.Win32.Kido.jq	5934
10	Virus.Win32.Sality.z	5750
11	Trojan-Downloader.JS.LuckySploit.q	4624
12	Virus.Win32.Alman.b	4394
13	Packed.Win32.Black.a	4317
14	Net-Worm.Win32.Kido.ix	4284
15	Worm.Win32.AutoIt.i	4189
16	Trojan-Downloader.WMA.GetCodec.u	4064
17	Packed.Win32.Klone.bj	3882
18	Email-Worm.Win32.Brontok.q	3794
19	Worm.Win32.AutoRun.rxx	3677
20	not-a-virus:AdWare.Win32.Shopper.v	3430

El segundo Top 20 presenta datos generados por el componente web del antivirus de Kaspersky Lab y refleja el escenario de amenazas en Internet. Esta clasificación incluye programas maliciosos detectados en páginas web y otros programas maliciosos que intentaron descargarse desde páginas web.

Posición	Programma nocivo	Cantidad de páginas web infectadas
1	Trojan-Downloader.JS.Gumblar.a	27103
2	Trojan-Downloader.JS.Iframe.ayt	14563
3	Trojan-Downloader.JS.LuckySploit.q	6975
4	Trojan-Clicker.HTML.IFrame.kr	5535
5	Trojan-Downloader.HTML.IFrame.sz	4521
6	Trojan-Downloader.JS.Major.c	4326
7	Trojan-Downloader.Win32.Agent.cdam	3939
8	Trojan-Clicker.HTML.IFrame.mq	3922
9	Trojan.JS.Agent.aat	3318
10	Trojan.Win32.RaMag.a	3302
11	Trojan-Clicker.SWF.Small.b	2894
12	Packed.JS.Agent.ab	2648
13	Trojan-Downloader.JS.Agent.czm	2501
14	Exploit.JS.Pdfka.gu	2441
15	Trojan-Clicker.JS.Agent.fp	2332
16	Trojan-Dropper.Win32.Agent.aiuf	2002
17	Exploit.JS.Pdfka.lr	1995
18	not-a-virus:AdWare.Win32.Shopper.l	1945
19	not-a-virus:AdWare.Win32.Shopper.v	1870
20	Exploit.SWF.Agent.az	1747

Kaspersky Lab