Nuevas NORMAS para el foro

Curso Hacker
Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación? - ſeptiembre 07, 2008, 02:56:58
Boton Buscar
Inicio Ayuda Ingresar Registrarse
Visita: Articulos - Juegos Gratis - Da Foros

Comunidad Underground Hispana  |  Hack Novato  |  Troyanos y virus (Moderadores: -Erick-, Angelus_7722)  |  Tema: nuevo virus y es indetectable.... 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: nuevo virus y es indetectable....  (Leído 844 veces)
kj
Colaborador
*****
Desconectado Desconectado

Mensajes: 769


el que madruga dios lo arruga

jjk_192@hotmail.com
Ver Perfil Email
« en: Mayo 14, 2008, 05:05:39 »
hoy estuve revisando los ordenadores de un ciber y me encontre con este bicho que al parecer es indetectable, aqui les dejo el informe de virus total:

MD5:     5b8f6e638657759722394d2863391f15
Primera recepción:    19.03.2008 11:51:06 (CET)
Fecha:    16.04.2008 09:20:48 (CET) [>28D]
Resultados:    1/32
Permalink:    analisis/ffac45d80366c8650d7157a17dd13169

Motor antivirus    Versión    Última actualización    Resultado
AhnLab-V3    -    -    -
AntiVir    -    -    -
Authentium    -    -    -
Avast    -    -    -
AVG    -    -    -
BitDefender    -    -    -
CAT-QuickHeal    -    -    -
ClamAV    -    -    -
DrWeb    -    -    -
eSafe    -    -    -
eTrust-Vet    -    -    -
Ewido    -    -    -
F-Prot    -    -    -
F-Secure    -    -    Suspicious:W32/Malware!Gemini
FileAdvisor    -    -    -
Fortinet    -    -    -
Ikarus    -    -    -
Kaspersky    -    -    -
McAfee    -    -    -
Microsoft    -    -    -
NOD32v2    -    -    -
Norman    -    -    -
Panda    -    -    -
Prevx1    -    -    -
Rising    -    -    -
Sophos    -    -    -
Sunbelt    -    -    -
Symantec    -    -    -
TheHacker    -    -    -
VBA32    -    -    -
VirusBuster    -    -    -
Webwasher-Gateway    -    -    -

como podran ver solo lo detectó f-segure, pero lo hiso como Suspicious:W32/Malware!Gemini y segun yo lo tengo entendido este es el nombre lo da cuando el virus fue encontrado mediante heuristica, por tanto aun no es conocido.

este es el autorun.inf en una de las maquinas:

[autorun]
open= w-k-s-m.exe
shellexecute=w-k-s-m.exe
shell\auto\command=w-k-s-m.exe
shell\open\command=w-k-s-m.exe

y el virus lo he encontardo en:

C:\w-k-s-m.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\winlogon.exe

en otra maquina era un poco diferente:

[autorun]
Open=WKSM.exe
shellexecute=WKSM.exe
Shell\Auto\command =WKSM.exe
Shell\Scan\command =WKSM.exe
Shell\OPEN\command =WKSM.exe
Shell\Explore\command =WKSM.exe
Shell = Auto

funcion: en algunas maquinas, cuando se intenta entrar al disco c te muestra un monton de mensajes de error.

pueden descargarlo y pasarle su av aqui:

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

PD: perdonen que lo haya hecho el lñink de rapidshare, pero no podia loguearme en adrive.

saludos

kj
« Última modificación: Mayo 15, 2008, 04:47:53 por kj » En línea
*si la vida te da la espalda agarrale el culo.
*la cerveza mata lentamente, pero no tengo apuro  alguno.
*daria todo lo que se por la mitad de lo que ignoro.

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
acabemos con rapidshare y megaupload      :: clic aqui ::


Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
no mas lista negra para kaspersky - recupera y utiliza keys en lista negra   :: clic aqui ::
SlayCool
Miembro
*****
Desconectado Desconectado

Mensajes: 142


La imaginacion es la logica mas grande del mundo.


Ver Perfil
« Respuesta #1 en: Mayo 14, 2008, 05:24:03 »
Habra que probarlo.

Salu2
En línea
pantroso200
Habitual
*****
Desconectado Desconectado

Mensajes: 169



Ver Perfil
« Respuesta #2 en: Mayo 14, 2008, 11:48:40 »
Pero que funcion tiene ese virus?
En línea
-Adriano-
Miembro
*****
Desconectado Desconectado

Mensajes: 116

ZZZzzz...


Ver Perfil
« Respuesta #3 en: Mayo 15, 2008, 09:21:02 »
si yo hace poco fui "victima" de ese autoreplicante aparentemente es indetectble a los AV pero no a mi  Grin ...
Cita de: pantroso200 en Mayo 14, 2008, 11:48:40
Pero que funcion tiene ese virus?
realmente no he estado provandolo en detalle pero basicamente se copia a cualquier medio extraible disponible en la pc (pen-drives,mp3,diskettes?,etc), crea o edita un autorun.inf en el mismo medio para poder ejecutarse a si mismo una vez q estando el medio en otra pc un usuario descuidado accede al mismo, una vez en memoria se copia a la carpeta del sistema, ademas crea entradas en el registro de windows para poder arrancar junto con win, infectando asi el cpomputador y volviendo al principio....
aun no eh provado si aprovecha algun fallo del sistema para proparse por red (cosa que es muy posible) pero bueno estaba apurado y una vez que vi de que se trataba lo elimine sin mas  Grin....

saludos -Adriano-
En línea
dj-loren
Miembro
*****
Desconectado Desconectado

Mensajes: 118


Ver Perfil
« Respuesta #4 en: Mayo 15, 2008, 02:34:09 »
pero esto k es un programa como turkojan brifost etc?
En línea
kj
Colaborador
*****
Desconectado Desconectado

Mensajes: 769


el que madruga dios lo arruga

jjk_192@hotmail.com
Ver Perfil Email
« Respuesta #5 en: Mayo 15, 2008, 04:50:56 »
su funcion ya la puse arriba, pero es solo en algunas maquinas, en otras no tiene ningun efecto.

saludos

kj
« Última modificación: Mayo 15, 2008, 05:19:17 por kj » En línea
*si la vida te da la espalda agarrale el culo.
*la cerveza mata lentamente, pero no tengo apuro  alguno.
*daria todo lo que se por la mitad de lo que ignoro.

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
acabemos con rapidshare y megaupload      :: clic aqui ::


Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
no mas lista negra para kaspersky - recupera y utiliza keys en lista negra   :: clic aqui ::
dj-loren
Miembro
*****
Desconectado Desconectado

Mensajes: 118


Ver Perfil
« Respuesta #6 en: Mayo 16, 2008, 04:58:08 »
ya pero no te entiendo eso se lo envio a la victima y despues tengo yo algun acceso a su pc o algo?
En línea
kj
Colaborador
*****
Desconectado Desconectado

Mensajes: 769


el que madruga dios lo arruga

jjk_192@hotmail.com
Ver Perfil Email
« Respuesta #7 en: Mayo 17, 2008, 09:19:02 »

es un virus; esta hecho solo para joderte, no para tener acceso remoto.

es diferente el virus y del troyano, debes leer un poquito mas para que entiendas eso.

saludos

kj
En línea
*si la vida te da la espalda agarrale el culo.
*la cerveza mata lentamente, pero no tengo apuro  alguno.
*daria todo lo que se por la mitad de lo que ignoro.

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
acabemos con rapidshare y megaupload      :: clic aqui ::


Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
no mas lista negra para kaspersky - recupera y utiliza keys en lista negra   :: clic aqui ::
dj-loren
Miembro
*****
Desconectado Desconectado

Mensajes: 118


Ver Perfil
« Respuesta #8 en: Mayo 17, 2008, 12:24:42 »
weno ya lo entendi Smiley eso ami no me gusta me gustan mas los troyanos xD
En línea
e0f-R00t.
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 2514



Ver Perfil
« Respuesta #9 en: Mayo 20, 2008, 08:36:16 »
normal que no sea detectado si los crea alguien para su uso propio contra quien le de la gana Wink
 



saludos
En línea

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
NORMAS DEL FORO
La imaginacion es lo mas poderoso que ha conocido el ser humano

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
NOD32 ESET Smart Security 3.0.650 Full
|
Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
KIS6 & KIS7 [ de por vida ]
ankha-klz
Miembro
*****
Desconectado Desconectado

Mensajes: 105


Dormire cuando muera ....

karl0z_12@hotmail.com
Ver Perfil
« Respuesta #10 en: Mayo 20, 2008, 08:50:47 »
Winlogon maneja las funciones del interfaz de Windows que son independientes de la política de autentificación. Crea los escritorios para la estación de Windows, operaciones del descanso de los instrumentos y en versiones de Windows previas a Windows Vista proporciona un grupo de funciones de soporte para el GINA y es responsable de la configuración la política de grupo de la máquina y de usuario.

También comprueba si la copia de Windows es una licencia legítima en Windows XP y versiones más posteriores.

Winlogon tiene las responsabilidades siguientes:

    * Protección del escritorio y de la estación Windows.
    * Reconocimiento de estándar SAS.
    * Envío de rutinas SAS.
    * Carga del perfil de usuario.
    * Asignación de seguridad al usuario de shell.
    * Control del protector de pantalla.
    * Soporte de provedor de red múltiple.

[segun wikipedia ]
En línea
kj
Colaborador
*****
Desconectado Desconectado

Mensajes: 769


el que madruga dios lo arruga

jjk_192@hotmail.com
Ver Perfil Email
« Respuesta #11 en: Mayo 26, 2008, 07:22:47 »

el archivo se llama winlogon, pero no es el winlogon de windows, hay muchos virus que se "camuflan" poniendose nombres de archivos del sistema.

este virus solo se puso el nombre de winlogon al entrar en la maquina, si te fijas el  nombre del virus es WKSM.exe (segun el autorun), solo que yo lo saque de C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\ porque ya lo habia eliminado del disco C.

no es raro que el virus coja el nombre de algun proseso del sistema, porque asi es mas difisil matar su proseso y poder eliminarlo.

el bicho cogio 3 nombres en todos los ordenadores que limpie manualmente:

taskmgr.exe

svchost.exe

winlogon.exe

-si te fijas esos son los nombres de archivos del sistema, pero si son virus solo que estan "camuflados".

saludos

kj
En línea
*si la vida te da la espalda agarrale el culo.
*la cerveza mata lentamente, pero no tengo apuro  alguno.
*daria todo lo que se por la mitad de lo que ignoro.

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
acabemos con rapidshare y megaupload      :: clic aqui ::


Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
no mas lista negra para kaspersky - recupera y utiliza keys en lista negra   :: clic aqui ::
Ghost Sigma
Miembro
*****
Desconectado Desconectado

Mensajes: 73


Ghost_Sigma@hotmail.com
Ver Perfil Email
« Respuesta #12 en: Mayo 27, 2008, 08:13:45 »


 Sad Sad
El kaspersky lo bloqueo.
En línea
kj
Colaborador
*****
Desconectado Desconectado

Mensajes: 769


el que madruga dios lo arruga

jjk_192@hotmail.com
Ver Perfil Email
« Respuesta #13 en: Mayo 29, 2008, 08:49:21 »
y que esperabas?

hace varios dias subi el archivo a virus total y normalmente cuando se hace eso no pasan 3 dias y todos los avs detectan el archivo como virus.

saludos

kj
« Última modificación: Mayo 29, 2008, 08:52:00 por kj » En línea
*si la vida te da la espalda agarrale el culo.
*la cerveza mata lentamente, pero no tengo apuro  alguno.
*daria todo lo que se por la mitad de lo que ignoro.

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
acabemos con rapidshare y megaupload      :: clic aqui ::


Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
no mas lista negra para kaspersky - recupera y utiliza keys en lista negra   :: clic aqui ::
Páginas: [1] Ir Arriba Imprimir 
Comunidad Underground Hispana  |  Hack Novato  |  Troyanos y virus (Moderadores: -Erick-, Angelus_7722)  |  Tema: nuevo virus y es indetectable.... « anterior próximo »
Ir a:  


Ranking-Hits
Powered by SMF 1.1.5 | SMF © 2006-2007, Simple Machines LLC