Virtumonde/Vundo comienza a infectar archivos
Estos últimos días he estado analizando las más recientes artimañas de los creadores de adware, en particular las de los autores de Virtumonde, también conocido como Vundo. Virtumonde es muy difícil de eliminar, pero si se le agrega un nuevo vector de infección puede convertirse en un verdadero dolor de cabeza.
Los autores han comenzado a utilizar a Virtumonde para infectar los archivos de inicio del ordenador. Así, Virtumonde convierte al archivo original en un Trojan-Dropper.
El código dropper es agregado al inicio del archivo original y una copia de Virtumonde anexada al final del archivo. Cuando se ejecuta el archivo infectado, éste envía el original a %temp% y el archivo de Virtumonde al directorio del sistema.
Aunque Virtumonde marca todos los archivos infectados para no infectarlos dos veces, este procedimiento puede fallar. Existen casos de archivos infectados que vuelven a infectarse, lo que causa que el archivo original no se ejecute. Sin embargo, Virtumonde puede seguir funcionando.
Como este código se reproduce a sí mismo, éste es un típico caso de un virus preposicional (que se añade a sí mismo al principio de los ficheros). A diferencia de otros adware que usan métodos similares, Virtumonde no es un parche troyano.
Este nuevo truco de los autores de Virtumonde es fácil de detectar y desinfectar. Nosotros lo detectamos como Virus.Win32.Trats.a. Aunque esta variante no nos causó ningún dolor de cabeza desde un punto de vista técnico, la situación puede complicarse si Virtumonde sigue desarrollándose.
Gracias por leer este post.Ahora puede Leer Comentarios (3) o enlazarnos.
Post Info
Esta entrada fue publicada el Lunes, Diciembre 10th, 2007 y esta archivada en la categoria General.Puedes seguir cualquier respuesta a esta entrada a través de Comentarios Feed. Puedes dejar un Comentario, o enlazarnos.
Post Previos: “Los mejores antivirus” fallan en la prueba VB100 »
Nuevos Post: Detectan 1400 nuevos virus al día »
- Pantallazos negros en XP SP3 al regresar de la hibernación en ordenadores multiprocesador
- Falsas actualizaciones de Windows XP y Vista
- Antivirus en línea desde Firefox
- Antivirus XP 2008 ahora es MS Antivirus
- Dos falsos programas de descargas de archivos utilizados para distribuir el adware Lop
- Nuevo malware interviene el portapapeles de Windows
- Un antivirus para controlarlos a todos
- Detalles sobre el troyano multimedia GetCodec.
- Publicidad online descarga malware
- Como envía spam Angelina
Mayo 7th, 2008 04:51
Pasos para eliminar Virtumonde:
Paso 1: al detectar el virus desconectarse inmediatamente de internet y no volverse a conectar hasta haberlo eliminado del todo.
Paso 2: en Windows XP desactivar restaurar sistema.
Paso 3: revisar MS Config y encontrar la nueva aplicación que se carga al inicio que ha generado el virus.
Paso 4: reiniciar en modo seguro.
Paso 5: Con la aplicación “File Assassin” (puede descargarse desde otro equipo de internet para no conectarse y luego instalar en el PC infectado) eliminar el archivo asociado a la nueva entrada que creó el virus que debe encontrarse en la carpeta System 32 (es un .dll y puede llamarse de cualquier manera similar a la aplicación que carga el virus)
Paso 6: Con Spybot search and Destroy eliminar la entrada de inicio y el BHOS objeto ayudante del navegador que crea el vurus. Ejecutar un chequeo con Spybot y eliminar Virtumonde.
Paso 7: Con Reg Seeker: eliminar todas las entradas en el Regedit asociadas al virus (la lista es larga y puede encontrarse en internet)
Paso 8: Revisar manualmente el registro buscando y eliminando las mismas entradas.
Paso 9: Limpiar el registro con Regseeker u otro similar.
Paso 10: Verificar con Spybot que se haya eliminado la aplicación de inicio asociada al virus.
Paso 11: Reiniciar en modo seguro
Paso 12: hacer un nuevo chequeo con Spybot y Regseeker.
Paso 13: chequear con un buen antivirus.
Paso 14: Si no se encontró rastro del virus reiniciar en modo normal.
Paso 15: Hacer un chequeo en modo normal (desconectado de internet).
Paso 16: Si está todo O.K. Reiniciar en modo normal y conectarse a internet. Usar un firewall y Spybot Tea Timer para evitar cambios indeseados en el registro.
Paso 17: Reactivar Restaurar Sistema y crear un punto de restauración.
Ce tout, It’s all, es todo…
Junio 19th, 2008 20:31
Pues no suena tan simple para el usuario promedio…nosotros hemos tenido malas experiencias..invirtiendo sobre todo mucho tiempo tratando de reparas las secuelas que causan al navegador (sea cual sea este)..de tal modo que una vez que lo encontramos, no nos ha sido posible erradicarlo…tan solo formatear, y hemos usado, Panda, kaspersky, Ahnlabs y ahuri (el cual no tiene problema para eliminar archivos en ejecución, como la mayorita).
Entonces cual es actualmente la solución real para evitar se infecte una maquina con Virtumonde?
Y ni que decir de Nod32..ese no detecto el virus.
Junio 30th, 2008 04:50
realmente esta situacion de los virus esta poniendose peligros para la esistecia de los seres vivos del planeta
hay que ver la falta de criterio y la estupides de los programadores de virus no sabes que ellos mismo estan atentando controa su vida por que lo que ellos crean trade otenprano le afectara de alguna forma
sabemos que muchos virus son creados por empresas para vender sus productos y asi culpar a otros de hacerlo
por que en realidad los virus nacen sin etiqueta y no tienen padre o madre que se les conoscan por que son anonimos, pero de sierto si os digo ese mismo que crea un virus en alguna sircunstancia de la vida podria ser afectado por el mismo podria estar en un quifofano o un ser muy amado estar ligado a una pc en un hospital y uno de sus virus dañar el systema y cobrar asi justicia ciega del mal uso de su conociemiento, puede haber algo automatizado que por alguna razon en el momento esacto no funciono por que un virus lo detubo y seria muy penoso que millones de persona padescan de una trajedia por la falta de iterio de un programador que en este casi si seria sin escrupulos pondria en peligro la esistencia de toda la raza un virus podria dañar el ordenador donde quizas este la cura ddel cida, del cancer, y de otras enfermedades que nos aquejan a diario puede dañar
el semafor electronico controlado por un ordenador y creal
asi un daño ireparable de la vida o quien sabe cuantas cosas mas puede pasar por no pensar que hacer un virus es hacerce daño asi mismo un virus en un celuar puede evitar salbar la vida de millones de persona en un segundo por no havisar atiempo de un peligro si voz quereis pasalo esto por pawer ponin a tus amigos y contactos por que nos las estamos jugando todos sin saber
la suerte en la que nos estamos metiendo por un insensato y inescrupuloso ser humano que atenta con la vida de todos al jugar con estos programas.
Att. el espiritu del planeta.