Cuidado con virus W32/Jeefo.A y W32/Sality.Y

W32/Sality.Y - Malware

El virus se transmite a través de Internet y la transferencia de archivos infectados o por correo electrónico, ya que tiene propiedades difusión amplia gama de flashes a través de la USB, donde se hace de los mismos archivos de ejecución automática ayudará a entrar en la PC de la víctima.

Nombre: W32/Sality.Y
Descubierto: 06/08/2008
Tipo: Infector de ficheros
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio-bajo
Potencial de propagación: Medio
Potencial dañino: Medio-alto
Fichero estático: No
Versión del IVDF: 7.00.05.207
Versión del motor antivirus: 8.01.01.018

General Métodos de propagación:
• Infects files (es)
• Red local
• Unidades de red mapeadas


Alias:
• Symantec: W32.Sality.AE
• Mcafee: W32/Sality.gen
• Kaspersky: Virus.Win32.Sality.aa
• TrendMicro: PE_SALITY.JER
• F-Secure: Virus.Win32.Sality.aa
• Sophos: W32/Sality-AM
• Panda: W32/Sality.AK
• VirusBuster: Sality.AQ.Gen
• Bitdefender: Win32.Sality.OG


Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Efectos secundarios:
• Infects files (es)
• Reduce las opciones de seguridad
• Modificaciones en el registro

Ficheros Crea el siguiente fichero:

– %SYSDIR%drivers%palabras aleatorias%.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.5509

Infección de ficheros Infector type: (es)

Infector embedded (es)


Self Modification (es)

Infector polymorphic (es)


Método:

Este virus queda activo en la memoria.


Infection Length (es)

Approximately (es) 70.000 Bytes


The following files are infected (P) (es)

By file type (es)
• .EXE

Files in the following directories and all subs (es)
• %dirve%
• \

Registro Elimina del registro de Windows el valor de la siguiente clave:

– [HKLMSYSTEMCurrentControlSetControlSafeBoot]


Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList]
• "c:\%filename%"="c:\%filename%:*:Enabled:ipsec"
• "c:windows\system32\ctfmon.exe"="c:windows\system32\ctfmon.exe:*:Enabled:ipsec"



Añade la siguiente clave al registro:

– [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciessystem]
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001



Modifica las siguientes claves del registro:

– [HKLMSOFTWAREMicrosoftSecurity Center]
Valor anterior:
• "AntiVirusDisableNotify"=dword:00000000
• "FirewallDisableNotify"=dword:00000000
• "UpdatesDisableNotify"=dword:00000000
• "AntiVirusOverride"=dword:00000000
• "FirewallOverride"=dword:00000000
Nuevo valor:
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
• "UacDisableNotify"=dword:00000001

– [HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
Valor anterior:
• "Hidden"=dword:00000001
Nuevo valor:
• "Hidden"=dword:00000002

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• Op1mutx9


Solucion Posible

Reparación manual

NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Intente reparar los archivos detectados como infectados (algunos archivos deberán ser borrados).


Editar el SYSTEM.INI

1. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

2. Busque las siguientes entradas, y si existen, bórrelas:

[TFTempCache]
id=[valor]
RtlMoveMeory=[valor]
PING=[valor]
TIME=[valor]

3. Grabe los cambios y salga del bloc de notas

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo".

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Jeefo.A. Infecta archivos .EXE, se instala en memoria

http://www.vsantivirus.com/jeefo-a.htm

Nombre: Jeefo.A
Nombre NOD32: Win32/Jeefo.A
Tipo: Virus
Alias: Jeefo.A, HLL.W32.Jeefo, PE_JEEFO.A, Virus.Win32.Hidrag.a, W32.Jeefo, W32.Jeefo.A, W32/Hidrag.A, W32/Jeefo, W32/Jeefo.A, W32/Jeefo-A, Win32.Hidrag, Win32.HLLP.Jeefo, Win32.HLLP.Jeefo.36352, Win32.Jeefo.A, Win32/Hidrag.A, Win32/HLLP.Jeefo.A, Win32/Jeefo.A, Win32:Jeefo
Fecha: 6/oct/03
Actualizado: 5/feb/06
Plataforma: Windows 32-bit
Tamaño: 203,264 bytes (variable)

Virus capaz de infectar archivos de Windows con extensión .EXE (PE, Portable Ejecutable).

Cada vez que un archivo infectado se ejecuta, el virus se copia en la carpeta de Windows, con el nombre de SVCHOST.EXE.

Al mismo tiempo el propio virus desinfecta el archivo previamente infectado (no siempre el archivo vuelve a su estado original, y en ocasiones la aplicación o programa afectado, puede provocar errores al volverse a ejecutar).

El virus mientras tanto permanece en memoria, y cada cierta cantidad de tiempo, busca en todas las carpetas de todos los discos duros (de la unidad C a la Z), otros archivos .EXE para infectarlos. Estos archivos deben tener un tamaño mayor de 102,399 bytes.

En Windows 95, 98 y ME, crea la siguiente entrada en el registro:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
PowerManager = "C:WindowsSVCHOST.EXE"

En Windows NT, 2000 y XP, el virus crea un servicio llamado "PowerManager":

HKLMSYSTEMCurrentControlSetServicesPowerManager

Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es también un archivo legítimo de Windows XP, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. No borre dicho archivo por equivocación al intentar borrar el que crea el virus.


Reparación manual

Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.

4. Seleccione DESINFECTAR (algunos archivos no podrán ser desinfectados y deberán ser borrados).


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
RunServices

3. Haga clic en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
PowerManager

5. Haga clic en la carpeta "PowerManager" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



Consejo propio: Si estos virus persisten como me paso a mi luego de varios escaneos con Avira y escaneos online, hacer backup, formatear y freezar la pc.. O mas bien cambiarse a otro sistema operativo como ubuntu o linux.



Fuente: http://www.vsantivirus.com

14 comentarios - Cuidado con virus W32/Jeefo.A y W32/Sality.Y

@Wikiringa -6
Y el link para descargar el virus?????????
@ryanrescatado +3
El_Baneado_77 dijo:
Wikiringa dijo: Y el link para descargar el virus?????????


nunca voy a pner a descargar virus..


JAAAAA, excelente respuesta para una pregunta pelotuda
@nasfox -1
Creen una carpeta que se llame "Autorun.inf" sin las comillas en todos sus discos rigidos y se van a evitar varios problemas n.n
@kamiloiori +1
tambien afecta en w7


nasfox dijo:Creen una carpeta que se llame "Autorun.inf" sin las comillas en todos sus discos rigidos y se van a evitar varios problemas n.n

y que problemas evitaraa
o + bn traera mas problemas
@ruld14_1
Te dejo mis 1o tio...Pero aun tengo una duda, parece que ya me libere del virus, ya puedo abrir el MSCONFIG el REGEDIT y el TASKMANAGER pero aun cuando quiero inciar en modo seguro no me permite hacerlo. :/ Ya analice 2 veces con el stinger, y ya no me aparecen mas infectados, ni con el sality killer, ni con el otro programa. Espero puedas responder a mi pregunta, pero creo que quedo dañado el modo seguro cuando borre los archivos que mi antivirus puso en cuarentena. :/
@Jacksonxxx +2
Ese virus me tiene cansado, con dr web cureit podes curar muchos archivos pero el daño a windows por borrar el virus y curar los archivos infectados es importante. La unica soluciion es pasar un antivirus y depues formatear, ya que se guarda en el archivo restore system. Despues de reinstalar desactivar restaurar sistema.
@felixariel
Jacksonxxx dijo:Ese virus me tiene cansado, con dr web cureit podes curar muchos archivos pero el daño a windows por borrar el virus y curar los archivos infectados es importante. La unica soluciion es pasar un antivirus y depues formatear, ya que se guarda en el archivo restore system. Despues de reinstalar desactivar restaurar sistema.

Avisame si no podes, tengo la solucion
@morbious
Jacksonxxx dijo:Ese virus me tiene cansado, con dr web cureit podes curar muchos archivos pero el daño a windows por borrar el virus y curar los archivos infectados es importante. La unica soluciion es pasar un antivirus y depues formatear, ya que se guarda en el archivo restore system. Despues de reinstalar desactivar restaurar sistema.


Es verdad el unico antivirus que lo elimina es el Dr. Web cureit, yo sufri la infeccion de mas de 100 de estos virus Sality A y entre otras cosas te deshabilita el administrador de tareas y no te permite instalar ningun antivirus ni siquiera funcionan los antivirus online, la unica solucion es poner el disco duro como esclavo en otra pc. y escanearlo desde ahi, insisto el unico antivirus que lo elimina es el Dr. Web cureit.
@raulynaye32
es mas sencillo formatear, asi no se dejan rastros del virus
@yrs710
el sujeto que a creado esa maldicion de Virus.Win32.Sality.bh Virus.Win32.Sality.gen ay que cartarlo por pedacitos y vivo..

y a @nasfox ay que crearle un altar por la gran ayuda que sale de este tuto...yo te dejo 10 no mas...si se puede dejar mas me lo avisan .....................