Alerta Troyano Win32:Mabezat en Pendrive

Troyano W32.Mabezat.
Revisando un pendrive me encontré con un troyano en 2 archivos:

WindowsXp StartMenu Settings.exe

MakeUrOwnFamilyTree.exe

W32.Mabezat:
Mabezat.B es un gusano de puerta trasera que se propaga a través de unidades compartidas de red y permite a los atacantes el acceso y permite un control total sobre la computadora infectada.
Es un gusano que se propaga a través de múltiples métodos. El gusano tiene la capacidad de infectar archivos ejecutables (Fuente: Symantec)


Este troyano aparece reportado en el Top 20 de programas maliciosos detectados en junio, de Kaspersky Lab
http://www.viruslist.com/sp/analysis?pubid=207271082

En http://virusscan.jotti.org/es se reportan diversas variantes detectadas por varios antivirus

- W32.Mabezat-2
- W32.Mabezat.Dr
- W32.W.Mabezat.B
- W32/Mabezat-B
- W32/Mabezat.A
- W32/Mabezat.C.worm
- Win32:Mabezat
- Win32.HLLW.Tazebama
- Win32.Worm.Mabezat
- Win32.Worm.Mabezat.J
- Win32/Mabezat.A
- Worm.Generic.256883
- Worm.Mabezat.A
- Worm.Win32.Mabezat
- Worm.Win32.Mabezat.b
- Worm/Autorun.378127
- Worm/Mabezat.A
- Worm/Mabezat.b

Resultado de escanear el archivo WindowsXp StartMenu Settings.exe desde http://virusscan.jotti.org/es

	2010-07-24 No se encontró nada		2010-07-24 Worm.Generic.256883
	2010-07-24 Win32:Mabezat		2010-07-24 Win32.Worm.Mabezat
	2010-07-24 Worm/Mabezat.A		2010-07-24 Worm.Win32.Mabezat.b
	2010-07-23 Worm/Autorun.378127		2010-07-24 Win32/Mabezat.A
	2010-07-24 Worm.Generic.256883		2010-07-24 W32/Mabezat.C.worm
	2010-07-24 W32.Mabezat-2		2010-07-23 W32.Mabezat.Dr
	2010-07-24 W32.W.Mabezat.B		2010-07-24 W32/Mabezat-B
	2010-07-24 Win32.HLLW.Tazebama		2010-07-23 Worm.Win32.Mabezat.b
	2010-07-24 W32/Mabezat.A		2010-07-24 Worm.Mabezat.A
	2010-07-24 Worm.Win32.Mabezat.b

Resultado de escanear el archivo MakeUrOwnFamilyTree.exe desde http://virusscan.jotti.org/es

	2010-07-25 No se encontró nada		2010-07-24 Win32.Worm.Mabezat.J
	2010-07-24 Win32:Mabezat		2010-07-24 Worm.Win32.Mabezat
	2010-07-24 Worm/Mabezat.A		2010-07-24 Worm.Win32.Mabezat.b
	2010-07-23 Worm/Mabezat.b		2010-07-24 Win32/Mabezat.A
	2010-07-24 Win32.Worm.Mabezat.J		2010-07-24 W32/Mabezat.C.worm
	2010-07-24 W32.Mabezat-2		2010-07-23 W32.Mabezat.Dr
	2010-07-24 W32.W.Mabezat.B		2010-07-24 W32/Mabezat-B
	2010-07-24 Win32.HLLW.Tazebama		2010-07-23 Worm.Win32.Mabezat.b
	2010-07-24 W32/Mabezat.A		2010-07-24 Worm.Mabezat.A
	2010-07-24 Worm.Win32.Mabezat.b

Como eliminar el Troyano W32.Mabezat.

Revisando en la web encontré esto en forospyware.com:
http://www.forospyware.com/t331262.html

1.- Descarga UsbFix By Chiquitine29.
Cuidado: Al parecer el archivo esta limpio, pero en http://virusscan.jotti.org/es todos los antivirus NO encontraron virus. Pero ClamaAV reporto un gusano (Worm.Autoit-36). Puede ser un falso positivo. Yo lo probaria.

2.- Iniciar en Modo Seguro. (ver como en forospyware)

3.- Ejecutar UsbFix.exe, realiza lo indicado:
- Conecte todos sus dispositivos extraibles, Pendrive\Micro SD, etc.
- Haga doble Click sobre USBFix
- Elija el idioma que desea, si es Castellano pulse C
- Seguido teclee la opción 2 - Eliminar \ Deleting
- El proceso de desinfección se iniciará, el ordenador se reiniciará.
- Cuando Windows inicie, USBFix, arrancará en automático, para complementar el proceso de desinfección y vacunación.
- USBFix, genera un reporte, el cual se encuentra generalmente en C:\USBFix.txt
Nota: UsbFix creará una carpeta oculta llamada "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudará a proteger sus dispositivos USB de futuras infecciones.

4.- Realizar un análisis Online de la siguiente manera:
4.1.- Descarga y ejecuta Ccleaner, usando primero su opción de "Limpiador" para borrar cookies y temporales de Internet.
Después usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
4.2.- Realizas un análisis en linea, aquí tienes varias antivirus online:
Panda ActiveScan Online
ESET (Nod32) Online Scanner
BitDefender QuickScan
Kaspersky Antivirus Online

5.- Utilizar FileASSASSIN si el troyano se resite (ver como en forospyware)

Espero les de buenos resultados

ANEXO. Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio

Posición	Programma nocivo	Cantidad de equipos infectados
1	Net-Worm.Win32.Kido.ih	58200
2	Virus.Win32.Sality.aa	28758
3	Trojan-Dropper.Win32.Flystud.ko	13064
4	Trojan-Downloader.Win32.VB.eql	12395
5	Worm.Win32.AutoRun.dui	8934
6	Trojan.Win32.Autoit.ci	8662
7	Virus.Win32.Virut.ce	6197
8	Worm.Win32.Mabezat.b	5967
9	Net-Worm.Win32.Kido.jq	5934
10	Virus.Win32.Sality.z	5750
11	Trojan-Downloader.JS.LuckySploit.q	4624
12	Virus.Win32.Alman.b	4394
13	Packed.Win32.Black.a	4317
14	Net-Worm.Win32.Kido.ix	4284
15	Worm.Win32.AutoIt.i	4189
16	Trojan-Downloader.WMA.GetCodec.u	4064
17	Packed.Win32.Klone.bj	3882
18	Email-Worm.Win32.Brontok.q	3794
19	Worm.Win32.AutoRun.rxx	3677
20	not-a-virus:AdWare.Win32.Shopper.v	3430

El segundo Top 20 presenta datos generados por el componente web del antivirus de Kaspersky Lab y refleja el escenario de amenazas en Internet. Esta clasificación incluye programas maliciosos detectados en páginas web y otros programas maliciosos que intentaron descargarse desde páginas web.

Posición	Programma nocivo	Cantidad de páginas web infectadas
1	Trojan-Downloader.JS.Gumblar.a	27103
2	Trojan-Downloader.JS.Iframe.ayt	14563
3	Trojan-Downloader.JS.LuckySploit.q	6975
4	Trojan-Clicker.HTML.IFrame.kr	5535
5	Trojan-Downloader.HTML.IFrame.sz	4521
6	Trojan-Downloader.JS.Major.c	4326
7	Trojan-Downloader.Win32.Agent.cdam	3939
8	Trojan-Clicker.HTML.IFrame.mq	3922
9	Trojan.JS.Agent.aat	3318
10	Trojan.Win32.RaMag.a	3302
11	Trojan-Clicker.SWF.Small.b	2894
12	Packed.JS.Agent.ab	2648
13	Trojan-Downloader.JS.Agent.czm	2501
14	Exploit.JS.Pdfka.gu	2441
15	Trojan-Clicker.JS.Agent.fp	2332
16	Trojan-Dropper.Win32.Agent.aiuf	2002
17	Exploit.JS.Pdfka.lr	1995
18	not-a-virus:AdWare.Win32.Shopper.l	1945
19	not-a-virus:AdWare.Win32.Shopper.v	1870
20	Exploit.SWF.Agent.az	1747

Kaspersky Lab

Mimi Lazo capturada infraganti XXX - Troyano Win32:Downloader-DPD [Trj]

Este resumen no está disponible. Haz clic en este enlace para ver la entrada.

Nod32 detecta Virus Win32/KillProc.P (Troyano) en descarga de Install_Flash_Player.exe

Navegar por la Web ya no es seguro, existen muchas "mentes" que tratan de aprovecharse de los confiados usuarios.

En un computador con sistema operativo recién instalado, no pregunten cual, pero siempre insisto que mejor instalen Gnu/Linux, yo solo ofrezco el servicio a los clientes, ellos deciden, el caso es que siempre les instalo firefox con algunos plugin de seguridad, y como es comun para visualizar contenido flash en la web, el navegador solicita instalar el plugin respectivo, descargandolo de la web del autor (macromedia), cosa que sigue siendo "aparentemente" comun, como lo indica el mensaje siguiente:

"Hello, you have an old version of Adobe Flash Player ..... .... get the latest Flash Player"

Inmediatamente el antivirus, detecta algo fuera de lo común: Win32/KillProc.P (Troyano)





Lo interesante es que "aparentemente" la dirección desde donde se descarga el plugin es la oficial de macromedia, observen con detalle:  
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe




En muchas paginas web se reseña esta link como correcto, lo extraño es que el Nod32 detecto que era un Troyano.

Busque información sobre el virus, de la cual no halle mucha, pero encontré esto en ingles, de fecha muy reciente:
I get a nod32 warning when downloading flashplayer

Donde explican que se puede usar este sitio http://virusscan.jotti.org/ para escanear un archivo que ha sido descargado.

Haces click en el boton "examinar", seleccionas el archivo en cuestion, y luego le dices "submit", esperamos un rato a que se analice el archivo.

Realice una prueba

Descargue el archivo http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe

Y este fue el resultado de mi análisis con la web http://virusscan.jotti.org/:

File: install_flash_player.exe Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5: 74d4bdb2f42773dfd7080f66bb3b8c5d

Lo que no se, es que si el haber echo la prueba desde mi PC con debian afecto el resultado..

Mas información referente al virus
http://www.viruslist.com/en/viruses/encyclopedia?virusid=37603

Información desde Eset-La
Malware que aprovecha vulnerabilidad en Adobe Flash Player Archivos Flash en peligro

Este seria el link oficial para la descarga de Adobe Flash Player
http://get.adobe.com/es/flashplayer/

Recomendaciones de Eset.

• Actualizar de inmediato este reproductor desde la página de descarga oficial de Adobe (http://get.adobe.com/es/flashplayer/)
• Utilizar aplicaciones que permitan el bloqueo de scripts desde sitios web. (Firefox con plugin NoScript)
• Utilizar un antivirus con capacidades proactivas para detectar y bloquear la posible descarga de malware a través de vulnerabilidades como estas. (Esto lo dejo a su gusto)

Mis recomendación es que luego de instalar el sistema operativo, inmediatamente instale y actualice un antivirus. Luego instalen Firefox con los plugin de seguridad (WOT, NoScript). Luego revisen el archivo desde http://virusscan.jotti.org/

Mejor aun... instalen debian