Nuestros Servicios

sábado, 24 de julio de 2010

Alerta Troyano Win32:Mabezat en Pendrive

Troyano W32.Mabezat.
Revisando un pendrive me encontré con un troyano en 2 archivos:

WindowsXp StartMenu Settings.exe
MakeUrOwnFamilyTree.exe

W32.Mabezat:
Mabezat.B es un gusano de puerta trasera que se propaga a través de unidades compartidas de red y permite a los atacantes el acceso y permite un control total sobre la computadora infectada.
Es un gusano que se propaga a través de múltiples métodos. El gusano tiene la capacidad de infectar archivos ejecutables (Fuente: Symantec)


Este troyano aparece reportado en el Top 20 de programas maliciosos detectados en junio, de Kaspersky Lab
http://www.viruslist.com/sp/analysis?pubid=207271082

En http://virusscan.jotti.org/es se reportan diversas variantes detectadas por varios antivirus

- W32.Mabezat-2
- W32.Mabezat.Dr
- W32.W.Mabezat.B
- W32/Mabezat-B
- W32/Mabezat.A
- W32/Mabezat.C.worm
- Win32:Mabezat
- Win32.HLLW.Tazebama
- Win32.Worm.Mabezat
- Win32.Worm.Mabezat.J
- Win32/Mabezat.A
- Worm.Generic.256883
- Worm.Mabezat.A
- Worm.Win32.Mabezat
- Worm.Win32.Mabezat.b
- Worm/Autorun.378127
- Worm/Mabezat.A
- Worm/Mabezat.b

Resultado de escanear el archivo WindowsXp StartMenu Settings.exe desde http://virusscan.jotti.org/es

2010-07-24 No se encontró nada
2010-07-24 Worm.Generic.256883
2010-07-24 Win32:Mabezat
2010-07-24 Win32.Worm.Mabezat
2010-07-24 Worm/Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
2010-07-23 Worm/Autorun.378127
2010-07-24 Win32/Mabezat.A
2010-07-24 Worm.Generic.256883
2010-07-24 W32/Mabezat.C.worm
2010-07-24 W32.Mabezat-2
2010-07-23 W32.Mabezat.Dr
2010-07-24 W32.W.Mabezat.B
2010-07-24 W32/Mabezat-B
2010-07-24 Win32.HLLW.Tazebama
2010-07-23 Worm.Win32.Mabezat.b
2010-07-24 W32/Mabezat.A
2010-07-24 Worm.Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
 

Resultado de escanear el archivo MakeUrOwnFamilyTree.exe desde http://virusscan.jotti.org/es

2010-07-25 No se encontró nada
2010-07-24 Win32.Worm.Mabezat.J
2010-07-24 Win32:Mabezat
2010-07-24 Worm.Win32.Mabezat
2010-07-24 Worm/Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
2010-07-23 Worm/Mabezat.b
2010-07-24 Win32/Mabezat.A
2010-07-24 Win32.Worm.Mabezat.J
2010-07-24 W32/Mabezat.C.worm
2010-07-24 W32.Mabezat-2
2010-07-23 W32.Mabezat.Dr
2010-07-24 W32.W.Mabezat.B
2010-07-24 W32/Mabezat-B
2010-07-24 Win32.HLLW.Tazebama
2010-07-23 Worm.Win32.Mabezat.b
2010-07-24 W32/Mabezat.A
2010-07-24 Worm.Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
 

Como eliminar el Troyano W32.Mabezat.
Revisando en la web encontré esto en forospyware.com:
http://www.forospyware.com/t331262.html

1.- Descarga UsbFix By Chiquitine29.
Cuidado: Al parecer el archivo esta limpio, pero en http://virusscan.jotti.org/es todos los antivirus NO encontraron virus. Pero ClamaAV reporto un gusano (Worm.Autoit-36). Puede ser un falso positivo. Yo lo probaria.

2.- Iniciar en Modo Seguro. (ver como en forospyware)

3.- Ejecutar UsbFix.exe, realiza lo indicado:
- Conecte todos sus dispositivos extraibles, Pendrive\Micro SD, etc.
- Haga doble Click sobre USBFix
- Elija el idioma que desea, si es Castellano pulse C
- Seguido teclee la opción 2 - Eliminar \ Deleting
- El proceso de desinfección se iniciará, el ordenador se reiniciará.
- Cuando Windows inicie, USBFix, arrancará en automático, para complementar el proceso de desinfección y vacunación.
- USBFix, genera un reporte, el cual se encuentra generalmente en C:\USBFix.txt
Nota: UsbFix creará una carpeta oculta llamada "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudará a proteger sus dispositivos USB de futuras infecciones.

4.- Realizar un análisis Online de la siguiente manera:
4.1.- Descarga y ejecuta Ccleaner, usando primero su opción de "Limpiador" para borrar cookies y temporales de Internet.
Después usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
4.2.- Realizas un análisis en linea, aquí tienes varias antivirus online:
Panda ActiveScan Online
ESET (Nod32) Online Scanner
BitDefender QuickScan
Kaspersky Antivirus Online

5.- Utilizar FileASSASSIN si el troyano se resite (ver como en forospyware)

Espero les de buenos resultados


ANEXO. Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio



Posición Programma nocivo Cantidad de equipos infectados
1   Net-Worm.Win32.Kido.ih 58200  
2   Virus.Win32.Sality.aa 28758  
3   Trojan-Dropper.Win32.Flystud.ko 13064  
4   Trojan-Downloader.Win32.VB.eql 12395  
5   Worm.Win32.AutoRun.dui 8934  
6   Trojan.Win32.Autoit.ci 8662  
7   Virus.Win32.Virut.ce 6197  
8   Worm.Win32.Mabezat.b 5967  
9   Net-Worm.Win32.Kido.jq 5934  
10   Virus.Win32.Sality.z 5750  
11   Trojan-Downloader.JS.LuckySploit.q 4624  
12   Virus.Win32.Alman.b 4394  
13   Packed.Win32.Black.a 4317  
14   Net-Worm.Win32.Kido.ix 4284  
15   Worm.Win32.AutoIt.i 4189  
16   Trojan-Downloader.WMA.GetCodec.u 4064  
17   Packed.Win32.Klone.bj 3882  
18   Email-Worm.Win32.Brontok.q 3794  
19   Worm.Win32.AutoRun.rxx 3677  
20   not-a-virus:AdWare.Win32.Shopper.v 3430  

El segundo Top 20 presenta datos generados por el componente web del antivirus de Kaspersky Lab y refleja el escenario de amenazas en Internet. Esta clasificación incluye programas maliciosos detectados en páginas web y otros programas maliciosos que intentaron descargarse desde páginas web.

Posición Programma nocivo Cantidad de páginas web infectadas
1   Trojan-Downloader.JS.Gumblar.a 27103  
2   Trojan-Downloader.JS.Iframe.ayt 14563  
3   Trojan-Downloader.JS.LuckySploit.q 6975  
4   Trojan-Clicker.HTML.IFrame.kr 5535  
5   Trojan-Downloader.HTML.IFrame.sz 4521  
6   Trojan-Downloader.JS.Major.c 4326  
7   Trojan-Downloader.Win32.Agent.cdam 3939  
8   Trojan-Clicker.HTML.IFrame.mq 3922  
9   Trojan.JS.Agent.aat 3318  
10   Trojan.Win32.RaMag.a 3302  
11   Trojan-Clicker.SWF.Small.b 2894  
12   Packed.JS.Agent.ab 2648  
13   Trojan-Downloader.JS.Agent.czm 2501  
14   Exploit.JS.Pdfka.gu 2441  
15   Trojan-Clicker.JS.Agent.fp 2332  
16   Trojan-Dropper.Win32.Agent.aiuf 2002  
17   Exploit.JS.Pdfka.lr 1995  
18   not-a-virus:AdWare.Win32.Shopper.l 1945  
19   not-a-virus:AdWare.Win32.Shopper.v 1870  
20   Exploit.SWF.Agent.az 1747  

Kaspersky Lab

No hay comentarios:

Publicar un comentario

Por política no publicamos comentarios anónimos.
Su comentario sera sometido a moderación.
Sea paciente y en unos instantes este sera visible para todos.

Gracias por su opinión.