nuevo virus y es indetectable....

hoy estuve revisando los ordenadores de un ciber y me encontre con este bicho que al parecer es indetectable, aqui les dejo el informe de virus total:

MD5:    5b8f6e638657759722394d2863391f15
Primera recepción:    19.03.2008 11:51:06 (CET)
Fecha:    16.04.2008 09:20:48 (CET) [>28D]
Resultados:    1/32
Permalink:    analisis/ffac45d80366c8650d7157a17dd13169

Motor antivirus    Versión    Última actualización    Resultado
AhnLab-V3    -    -    -
AntiVir    -    -    -
Authentium    -    -    -
Avast    -    -    -
AVG    -    -    -
BitDefender    -    -    -
CAT-QuickHeal    -    -    -
ClamAV    -    -    -
DrWeb    -    -    -
eSafe    -    -    -
eTrust-Vet    -    -    -
Ewido    -    -    -
F-Prot    -    -    -
F-Secure    -    -    Suspicious:W32/Malware!Gemini
FileAdvisor    -    -    -
Fortinet    -    -    -
Ikarus    -    -    -
Kaspersky    -    -    -
McAfee    -    -    -
Microsoft    -    -    -
NOD32v2    -    -    -
Norman    -    -    -
Panda    -    -    -
Prevx1    -    -    -
Rising    -    -    -
Sophos    -    -    -
Sunbelt    -    -    -
Symantec    -    -    -
TheHacker    -    -    -
VBA32    -    -    -
VirusBuster    -    -    -
Webwasher-Gateway    -    -    -

como podran ver solo lo detectó f-segure, pero lo hiso como Suspicious:W32/Malware!Gemini y segun yo lo tengo entendido este es el nombre lo da cuando el virus fue encontrado mediante heuristica, por tanto aun no es conocido.

este es el autorun.inf en una de las maquinas:

[autorun]
open= w-k-s-m.exe
shellexecute=w-k-s-m.exe
shell\auto\command=w-k-s-m.exe
shell\open\command=w-k-s-m.exe

y el virus lo he encontardo en:

C:\w-k-s-m.exe
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\winlogon.exe

en otra maquina era un poco diferente:

[autorun]
Open=WKSM.exe
shellexecute=WKSM.exe
Shell\Auto\command =WKSM.exe
Shell\Scan\command =WKSM.exe
Shell\OPEN\command =WKSM.exe
Shell\Explore\command =WKSM.exe
Shell = Auto

funcion: en algunas maquinas, cuando se intenta entrar al disco c te muestra un monton de mensajes de error.

pueden descargarlo y pasarle su av aqui:
http://rapidshare.com/files/114942642/winlogon.rar.html

PD: perdonen que lo haya hecho el lñink de rapidshare, pero no podia loguearme en adrive.

saludos

kj

Habra que probarlo.

Salu2

Pero que funcion tiene ese virus?

si yo hace poco fui "victima" de ese autoreplicante aparentemente es indetectble a los AV pero no a mi Grin

...

Cita de: pantroso200 en Mayo 14, 2008, 11:48:40

Pero que funcion tiene ese virus?

realmente no he estado provandolo en detalle pero basicamente se copia a cualquier medio extraible disponible en la pc (pen-drives,mp3,diskettes?,etc), crea o edita un autorun.inf en el mismo medio para poder ejecutarse a si mismo una vez q estando el medio en otra pc un usuario descuidado accede al mismo, una vez en memoria se copia a la carpeta del sistema, ademas crea entradas en el registro de windows para poder arrancar junto con win, infectando asi el cpomputador y volviendo al principio....
aun no eh provado si aprovecha algun fallo del sistema para proparse por red (cosa que es muy posible) pero bueno estaba apurado y una vez que vi de que se trataba lo elimine sin mas Grin

....

saludos -Adriano-

pero esto k es un programa como turkojan brifost etc?

su funcion ya la puse arriba, pero es solo en algunas maquinas, en otras no tiene ningun efecto.

saludos

kj

ya pero no te entiendo eso se lo envio a la victima y despues tengo yo algun acceso a su pc o algo?

es un virus; esta hecho solo para joderte, no para tener acceso remoto.

es diferente el virus y del troyano, debes leer un poquito mas para que entiendas eso.

saludos

kj

weno ya lo entendi

eso ami no me gusta me gustan mas los troyanos xD

normal que no sea detectado si los crea alguien para su uso propio contra quien le de la gana Wink

saludos

NORMAS DEL FORO

Acunetix Web Vulnerability | NOD32 ESET Smart Security 3.0.650 Full | KIS6 & KIS7 [ de por vida ]
Tutorial Remote File Inclusion ( RFI ) | Evitando SQL Injection
La imaginacion es lo mas poderoso que ha conocido el ser humano
TerminalHacker.net
LatinoHack.com

Winlogon maneja las funciones del interfaz de Windows que son independientes de la política de autentificación. Crea los escritorios para la estación de Windows, operaciones del descanso de los instrumentos y en versiones de Windows previas a Windows Vista proporciona un grupo de funciones de soporte para el GINA y es responsable de la configuración la política de grupo de la máquina y de usuario.

También comprueba si la copia de Windows es una licencia legítima en Windows XP y versiones más posteriores.

Winlogon tiene las responsabilidades siguientes:

* Protección del escritorio y de la estación Windows.
* Reconocimiento de estándar SAS.
* Envío de rutinas SAS.
* Carga del perfil de usuario.
* Asignación de seguridad al usuario de shell.
* Control del protector de pantalla.
* Soporte de provedor de red múltiple.

[segun wikipedia ]

el archivo se llama winlogon, pero no es el winlogon de windows, hay muchos virus que se "camuflan" poniendose nombres de archivos del sistema.

este virus solo se puso el nombre de winlogon al entrar en la maquina, si te fijas el nombre del virus es WKSM.exe (segun el autorun), solo que yo lo saque de C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\ porque ya lo habia eliminado del disco C.

no es raro que el virus coja el nombre de algun proseso del sistema, porque asi es mas difisil matar su proseso y poder eliminarlo.

el bicho cogio 3 nombres en todos los ordenadores que limpie manualmente:

taskmgr.exe

svchost.exe

winlogon.exe

-si te fijas esos son los nombres de archivos del sistema, pero si son virus solo que estan "camuflados".

saludos

kj

El kaspersky lo bloqueo.

y que esperabas?

hace varios dias subi el archivo a virus total y normalmente cuando se hace eso no pasan 3 dias y todos los avs detectan el archivo como virus.

saludos

kj

	Bienvenido(a), Visitante. Favor de ingresar o registrarse. ¿Perdiste tu email de activación? - Agosto 21, 2008, 07:47:05 Boton Buscar