Mostrando entradas con la etiqueta troyano. Mostrar todas las entradas
Mostrando entradas con la etiqueta troyano. Mostrar todas las entradas

sábado, 24 de julio de 2010

Alerta Troyano Win32:Mabezat en Pendrive

Troyano W32.Mabezat.
Revisando un pendrive me encontré con un troyano en 2 archivos:

WindowsXp StartMenu Settings.exe
MakeUrOwnFamilyTree.exe

W32.Mabezat:
Mabezat.B es un gusano de puerta trasera que se propaga a través de unidades compartidas de red y permite a los atacantes el acceso y permite un control total sobre la computadora infectada.
Es un gusano que se propaga a través de múltiples métodos. El gusano tiene la capacidad de infectar archivos ejecutables (Fuente: Symantec)


Este troyano aparece reportado en el Top 20 de programas maliciosos detectados en junio, de Kaspersky Lab
http://www.viruslist.com/sp/analysis?pubid=207271082

En http://virusscan.jotti.org/es se reportan diversas variantes detectadas por varios antivirus

- W32.Mabezat-2
- W32.Mabezat.Dr
- W32.W.Mabezat.B
- W32/Mabezat-B
- W32/Mabezat.A
- W32/Mabezat.C.worm
- Win32:Mabezat
- Win32.HLLW.Tazebama
- Win32.Worm.Mabezat
- Win32.Worm.Mabezat.J
- Win32/Mabezat.A
- Worm.Generic.256883
- Worm.Mabezat.A
- Worm.Win32.Mabezat
- Worm.Win32.Mabezat.b
- Worm/Autorun.378127
- Worm/Mabezat.A
- Worm/Mabezat.b

Resultado de escanear el archivo WindowsXp StartMenu Settings.exe desde http://virusscan.jotti.org/es

2010-07-24 No se encontró nada
2010-07-24 Worm.Generic.256883
2010-07-24 Win32:Mabezat
2010-07-24 Win32.Worm.Mabezat
2010-07-24 Worm/Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
2010-07-23 Worm/Autorun.378127
2010-07-24 Win32/Mabezat.A
2010-07-24 Worm.Generic.256883
2010-07-24 W32/Mabezat.C.worm
2010-07-24 W32.Mabezat-2
2010-07-23 W32.Mabezat.Dr
2010-07-24 W32.W.Mabezat.B
2010-07-24 W32/Mabezat-B
2010-07-24 Win32.HLLW.Tazebama
2010-07-23 Worm.Win32.Mabezat.b
2010-07-24 W32/Mabezat.A
2010-07-24 Worm.Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
 

Resultado de escanear el archivo MakeUrOwnFamilyTree.exe desde http://virusscan.jotti.org/es

2010-07-25 No se encontró nada
2010-07-24 Win32.Worm.Mabezat.J
2010-07-24 Win32:Mabezat
2010-07-24 Worm.Win32.Mabezat
2010-07-24 Worm/Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
2010-07-23 Worm/Mabezat.b
2010-07-24 Win32/Mabezat.A
2010-07-24 Win32.Worm.Mabezat.J
2010-07-24 W32/Mabezat.C.worm
2010-07-24 W32.Mabezat-2
2010-07-23 W32.Mabezat.Dr
2010-07-24 W32.W.Mabezat.B
2010-07-24 W32/Mabezat-B
2010-07-24 Win32.HLLW.Tazebama
2010-07-23 Worm.Win32.Mabezat.b
2010-07-24 W32/Mabezat.A
2010-07-24 Worm.Mabezat.A
2010-07-24 Worm.Win32.Mabezat.b
 

Como eliminar el Troyano W32.Mabezat.
Revisando en la web encontré esto en forospyware.com:
http://www.forospyware.com/t331262.html

1.- Descarga UsbFix By Chiquitine29.
Cuidado: Al parecer el archivo esta limpio, pero en http://virusscan.jotti.org/es todos los antivirus NO encontraron virus. Pero ClamaAV reporto un gusano (Worm.Autoit-36). Puede ser un falso positivo. Yo lo probaria.

2.- Iniciar en Modo Seguro. (ver como en forospyware)

3.- Ejecutar UsbFix.exe, realiza lo indicado:
- Conecte todos sus dispositivos extraibles, Pendrive\Micro SD, etc.
- Haga doble Click sobre USBFix
- Elija el idioma que desea, si es Castellano pulse C
- Seguido teclee la opción 2 - Eliminar \ Deleting
- El proceso de desinfección se iniciará, el ordenador se reiniciará.
- Cuando Windows inicie, USBFix, arrancará en automático, para complementar el proceso de desinfección y vacunación.
- USBFix, genera un reporte, el cual se encuentra generalmente en C:\USBFix.txt
Nota: UsbFix creará una carpeta oculta llamada "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudará a proteger sus dispositivos USB de futuras infecciones.

4.- Realizar un análisis Online de la siguiente manera:
4.1.- Descarga y ejecuta Ccleaner, usando primero su opción de "Limpiador" para borrar cookies y temporales de Internet.
Después usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
4.2.- Realizas un análisis en linea, aquí tienes varias antivirus online:
Panda ActiveScan Online
ESET (Nod32) Online Scanner
BitDefender QuickScan
Kaspersky Antivirus Online

5.- Utilizar FileASSASSIN si el troyano se resite (ver como en forospyware)

Espero les de buenos resultados


ANEXO. Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio



Posición Programma nocivo Cantidad de equipos infectados
1   Net-Worm.Win32.Kido.ih 58200  
2   Virus.Win32.Sality.aa 28758  
3   Trojan-Dropper.Win32.Flystud.ko 13064  
4   Trojan-Downloader.Win32.VB.eql 12395  
5   Worm.Win32.AutoRun.dui 8934  
6   Trojan.Win32.Autoit.ci 8662  
7   Virus.Win32.Virut.ce 6197  
8   Worm.Win32.Mabezat.b 5967  
9   Net-Worm.Win32.Kido.jq 5934  
10   Virus.Win32.Sality.z 5750  
11   Trojan-Downloader.JS.LuckySploit.q 4624  
12   Virus.Win32.Alman.b 4394  
13   Packed.Win32.Black.a 4317  
14   Net-Worm.Win32.Kido.ix 4284  
15   Worm.Win32.AutoIt.i 4189  
16   Trojan-Downloader.WMA.GetCodec.u 4064  
17   Packed.Win32.Klone.bj 3882  
18   Email-Worm.Win32.Brontok.q 3794  
19   Worm.Win32.AutoRun.rxx 3677  
20   not-a-virus:AdWare.Win32.Shopper.v 3430  

El segundo Top 20 presenta datos generados por el componente web del antivirus de Kaspersky Lab y refleja el escenario de amenazas en Internet. Esta clasificación incluye programas maliciosos detectados en páginas web y otros programas maliciosos que intentaron descargarse desde páginas web.

Posición Programma nocivo Cantidad de páginas web infectadas
1   Trojan-Downloader.JS.Gumblar.a 27103  
2   Trojan-Downloader.JS.Iframe.ayt 14563  
3   Trojan-Downloader.JS.LuckySploit.q 6975  
4   Trojan-Clicker.HTML.IFrame.kr 5535  
5   Trojan-Downloader.HTML.IFrame.sz 4521  
6   Trojan-Downloader.JS.Major.c 4326  
7   Trojan-Downloader.Win32.Agent.cdam 3939  
8   Trojan-Clicker.HTML.IFrame.mq 3922  
9   Trojan.JS.Agent.aat 3318  
10   Trojan.Win32.RaMag.a 3302  
11   Trojan-Clicker.SWF.Small.b 2894  
12   Packed.JS.Agent.ab 2648  
13   Trojan-Downloader.JS.Agent.czm 2501  
14   Exploit.JS.Pdfka.gu 2441  
15   Trojan-Clicker.JS.Agent.fp 2332  
16   Trojan-Dropper.Win32.Agent.aiuf 2002  
17   Exploit.JS.Pdfka.lr 1995  
18   not-a-virus:AdWare.Win32.Shopper.l 1945  
19   not-a-virus:AdWare.Win32.Shopper.v 1870  
20   Exploit.SWF.Agent.az 1747  

Kaspersky Lab

viernes, 20 de febrero de 2009

Nod32 detecta Virus Win32/KillProc.P (Troyano) en descarga de Install_Flash_Player.exe

Navegar por la Web ya no es seguro, existen muchas "mentes" que tratan de aprovecharse de los confiados usuarios.

En un computador con sistema operativo recién instalado, no pregunten cual, pero siempre insisto que mejor instalen Gnu/Linux, yo solo ofrezco el servicio a los clientes, ellos deciden, el caso es que siempre les instalo firefox con algunos plugin de seguridad, y como es comun para visualizar contenido flash en la web, el navegador solicita instalar el plugin respectivo, descargandolo de la web del autor (macromedia), cosa que sigue siendo "aparentemente" comun, como lo indica el mensaje siguiente:

"Hello, you have an old version of Adobe Flash Player ..... .... get the latest Flash Player"



Inmediatamente el antivirus, detecta algo fuera de lo común: Win32/KillProc.P (Troyano)





Lo interesante es que "aparentemente" la dirección desde donde se descarga el plugin es la oficial de macromedia, observen con detalle:  
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe




En muchas paginas web se reseña esta link como correcto, lo extraño es que el Nod32 detecto que era un Troyano.

Busque información sobre el virus, de la cual no halle mucha, pero encontré esto en ingles, de fecha muy reciente:
I get a nod32 warning when downloading flashplayer

Donde explican que se puede usar este sitio http://virusscan.jotti.org/ para escanear un archivo que ha sido descargado.

Haces click en el boton "examinar", seleccionas el archivo en cuestion, y luego le dices "submit", esperamos un rato a que se analice el archivo.

Realice una prueba

Descargue el archivo http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe

Y este fue el resultado de mi análisis con la web http://virusscan.jotti.org/:

File: install_flash_player.exe Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5: 74d4bdb2f42773dfd7080f66bb3b8c5d

Lo que no se, es que si el haber echo la prueba desde mi PC con debian afecto el resultado..

Mas información referente al virus
http://www.viruslist.com/en/viruses/encyclopedia?virusid=37603

Información desde Eset-La
Malware que aprovecha vulnerabilidad en Adobe Flash Player Archivos Flash en peligro

Este seria el link oficial para la descarga de Adobe Flash Player
http://get.adobe.com/es/flashplayer/

Recomendaciones de Eset.
  • Actualizar de inmediato este reproductor desde la página de descarga oficial de Adobe (http://get.adobe.com/es/flashplayer/)
  • Utilizar aplicaciones que permitan el bloqueo de scripts desde sitios web. (Firefox con plugin NoScript)
  • Utilizar un antivirus con capacidades proactivas para detectar y bloquear la posible descarga de malware a través de vulnerabilidades como estas. (Esto lo dejo a su gusto)
Mis recomendación es que luego de instalar el sistema operativo, inmediatamente instale y actualice un antivirus. Luego instalen Firefox con los plugin de seguridad (WOT, NoScript). Luego revisen el archivo desde http://virusscan.jotti.org/

Mejor aun... instalen debian

Proyecto Cumaná Digital 2.4 GHz

Ofrecemos a la Comunidad Estudiantil, en todos los Niveles Educativos (Universitario, Técnico, Ciclo Diversificado, Educación Básica) servicios academicos a muy bajos costos, accesibles para aquellos estudiantes de bajos recursos. Nuestro objetivo es ofrecer servicios de calidad.

Ademas puedes consultar los articulos publicados es este Blog.

Elaboración y Asesorias de Tesis de Grado, Pasantias, Proyectos de Servicio Comunitario. Transcripción de todo tipo de documentos.
Asesoría en Tesis de Grado, Pasantias, Servicio Comunitario. Ofrecemos encargarnos integralmente del proyecto: Diagramacion normas APA-UPEL. Corrección de Estilo, Tiempos Verbales, Operacionalización de Variables, Indicadores, Instrumento de Recolección de Datos, Encuestas, Cuestionario, Estadísticas. Tambien realizamos Trabajos de investigación documental, de campo, Proyectos Factibles. Nos adaptmos a las normas y exigencias de cada Institución/universidad.

ASESORÍAS DE TESIS EN CUMANÁ

Solicitar Información - Contáctanos