esta es la página que yo habia puesto como link en mi post anterior pero se ve que nadie se fijo tambien trae una solucion al virus que yo veo mas fiable...
Cita :Hace unos momentos estaba yo muy tranquilo chateando con un amigo, y de repente me aparece una conversación de una amiga la cual me manda el siguiente mensaje:
Moquita Bonita dice:
oye voy a agregar esa foto a mi blog ya
Moquita Bonita envía:
IMG-0012.zip
Abrir (Alt+P)
Mixel Adm: Nomas no digas que no Ya casi 25... fiestaaaaaaaa eaaaa party://29.9.7.9:25 dice:
¿¿??¿?
Has recibido satisfactoriamente C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\IMG-0012.zip de Moquita Bonita .
Mixel Adm: Nomas no digas que no Ya casi 25... fiestaaaaaaaa eaaaa party://29.9.7.9:25 dice:
y eso que es ???
ha ya se virus
lsass_imagen_1_messenger.PNG
Como podran observar rapidamente acepte el archivo, sabiendo que ella ni siquiera tiene un blog, pero no me podia quedar con las ganas de ver este pequeño juguetito.
Acto seguido lo desempaque del zip y obtuve un bonito archivo llamado img0012-www.photostorage.com, el cual hace aluciñon a un sitio en internet de imágenes.
Despues de meterle el PEID y que este no me mostrara nada, pero aun así, al ver el nombre de la primer sección, quedo claro que usaron UPX para comprimir el archivo.
En esta imagen se ve en el ovalo negro que nada se encontro, es decir PEID fallo al momento de reconocer la signatura, sin embargo el hecho de que la sección del Entry Point se llame UPX1, nos da la pista para saber que se trata de UPX.
Sin perder tiempo, use el sevicio de virus total, para ver que es lo que me decia de este archivito y estos fueron losresultados, que sin lugar a duda nos hacen ver donde estan parados los antivirus más reconocidos
Análisis del archivo img0012-www.photostorage.com recibido el 11.09.2007 18:07:10 (CET)
Estado actual: análisis terminado
Información adicional
Tamaño del archivo: 25600 bytes
MD5: d799d8ffd0c98af60507b98e2961b826
SHA1: 4a75efbe635d2bd7287734c0fe936ef3b155cd1b
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9CF50FD70078911864CE001DC3BFD7001BA00223
Si solo 14 de los 32 Antivirus utilizados encontraron como laicioso el archivo.
Pero bien ahora pasemos a lo que realmente no sirve, que es saber que hace el archivito que nos enviaron.
lo primer que hice fue ejecutar el archivo, el cual creo otro llamado lsass.exe hummm pequeño detalle puesto que ese es el nombre de uno de los servicios del sistema de windows, asi que esa es la arma de los creadores del gusano/bot, camuflajearse con el nombre de lsass.ese, solo que este esta guardado en c:\windows\system\lsass.exe y no en la carpeta system32 que es en el que reside el archivo original. otra cosas que los diferencia es el tamaño del archivo, ya que el archivo original pesa solo 13KB y el archivo malisioso, 25KB.
En eseta imagen observamos que existen tres procesos llamados lsass.exe, sin embargo hay alguna diferencias que se pueden observar en Process Explorer, para empezar, veremos que dos de los tres procesos no se estan ejecutando como servicios del sistema, sino como procesos normales. Lo segundo es que estan resaltados de color fusia, lo que indica que el archivo esta comprimido/encriptado (cosa que ya sabiamos).
Eliminando este bicho.
*****Actualización
Después de leer sus comentarios rectifico en lo de que es fácil eliminarlo, puesto que mucha gente esta batallando:
ahora les dejo los pasos detallados usando el Rootkit Unhooker:
Primeramente descargalo y ejecuta el ejecutable que vien adentro del archivo .zip
ahora damos click Hidden Processes Detector y buscamos los procesos llamados lsass.exe, pero que no esten en system32
y ahora sobre cada uno de los dos procesos, damos click derecho y seleccionamos Force kill + File erase
esto hara que aparesca un boton que dice que si estamos seguro (el texto esta en ingles) y seleccionamos que si, ahora esperamos unos 10 segundos y pulsamos aceptar al siguiente cuadro de dialogo que aparecera.
Nota: El procedimiento que hicimos no elimino el archivo, sino que lo dejo lleno de ceros, por lo cual el archivo ya no es útil, cuando reinicies la computadora que yo sugeriría, fuera inmediatamente después de borrar hacer esta operación, podras borrar el archivo de la forma acostumbrada.
una vez que hemos hecho lo anterior con los dos archivos, solo queda borrar la entrada del registro que este bicho hace para ejecutarse cada vez que iniciamos la computadora, aunque esto no es necesario. La entrada es la siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Lsass Services
Lo más facil para eliminarla seria bajarnos el Autoruns desde sysinternals.com. en la parte de mero abajo de la páina dice download Autoruns.
una cosa que me gustria dejarles es la lista de frases que trae este gusano en varios idiomas, apra que no se dejen sorprender:
ay no ese pelo fue lo mas chistoso...q estabas pensando
jajaja yo me recuerdo cuando tuvistes el pelo asi
oye ponga esa foto en tu myspace como la foto principal
voy a poner esa foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi
oye voy a poner esa foto de nosotros en mi myspace :->
Per favore nessuno lasciare vede le nostre foto
Io ricordo quando abbiamo portato questa foto
Caricher
questa foto al mio myspace adesso
Qui sono il fotos di ci
jaja lei dovrebbe fare quest'il suo pic predefinito sul myspace o qualcosa
ehi aggiunger
quest'immagine di noi al mio weblog
jaja ricordo quando lei aveva i suoi capelli come questo
ehi metter
quest'immagine di noi sul mio myspace :>
chten den pics von meinen Ferien sehen?
Wimmern! Blick auf diese alte Abbildung, die ich: fand
he ich zeige Ihnen diese Abbildung von mir
berhaupt?
Haha sollten Sie dieses Ihre R
ckstellung auf myspace oder etwas pic bilden
he werde ich diese Abbildung von uns meinem weblog hinzuf
gen
lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
he werde ich diese Abbildung von uns auf mein myspace setzen
wil je fotos zien van mijn vakantie
wow! moet je eens kijken welke foto ik nu gevonden heb
he heb je ooit deze foto laten zien ?
haha you moet die je standaard foto maken op hyves of myspace
hey ik voeg deze foto van ons ff toe op mijn weblog
lol ik kan me nog herrinneren toen je haar zoals dit had
Hey i zet deze foto van ons even op mijn myspace
faut de la reproduction sonore ! regard
cette vieille image que j'ai trouv
mes photos chaudes
haha vous devriez rendre ceci votre d
faut pic sur le myspace ou quelque chose
j'ai fais pour toi ce photo album tu dois le voire :p
veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
je vais mettre cette image de nous sur mon myspace :>
Check out my nice photo album.
wanna see the pics from my vacation? :>
Nice new photos of me and my friends and stuff and when i was young lol...
lol remember when you used to have your hair like this
My friend took nice photos of me.you Should see em loL!
hey i'm going to add this picture of us to my weblog
Here are my private pictures for you
y hasta aqui queda esta bot, que nos duro muy poco la verdad.
Saludos.
yo segui esos pasos paso por paso y se me resolvio en seguida!
slds
ah y si el administrador de tareas de windows no les deja cerrar los procesos malignos usen este a mi me pasó y me sirvió:
http://dw.com.com/redir?edId=3&siteId=4&oId=3000-2094_4-10256718&ontId=2094&lop=link<ype=dl_dlnow&pid=10526910&mfgId=6248759&merId=6248759&destUrl=http%3A%2F%2Fwww.download.com%2F3001-2094_4-10526910.html
saludos!
Opciones
Post Relacionados
- Solucionar search settings 1.1
- Solucion Windows LIve Messenger (Error Inicio sesion)
- Eliminar virus y troyanos de msn
- Como eliminar virus foto.zip de Messenger
- Como crear un gusano en Batch (codigo)
- Virus en el mail (info buscada por mi.. no es una cadena)
- Troyano foto_posse solucion
- alerta de virus en el messenger, hoy 11/9 esta circulando
Información del post
59 Puntos
7 Favoritos
11058 Visitas
Creado el: 12.09.2007 a las 02:32:20 hs.
Categoría: Noticias
Tags: messenger, solucion, virus, 11 de septiembre, worm, img0012-www.photostorage, photostorage.
Agregar a:
#1 -
RAuraeus
| 12.09.2007 03:38:13 dijo:
gracias!! el boludo de mi hermano bajo el zip ese de mierda
.lo voy a cagar a palos .te dejo 10.
#2 - Lescoumes | 12.09.2007 07:46:56 dijo:
metall, un amigo estubo batallando ayer contra este
buen aporte!!!
#3 - DarthLeonidius | 12.09.2007 09:30:27 dijo:
prueben on ese programa si tienen problema con los procesos...
gracias RAuraus por los taringuines!
#4 - HenShaW | 12.09.2007 11:41:45 dijo:
buena info, dentro de todo clara. por suerte mi desconfianza pudo mas ke mi curiosidad (NUNCA recibo archivos sin estar seguro de lo ke son) pero tengo una pc de un amigo aca en casa (estan con cable cruzado) ke lo recibio no se de kien y su msn se puso a mandarlo a full a sus contactos. como dije en otro lado, el nod32 fue el unico ke detecto algo raro :S. van puntos
#5 - urdibelius | 12.09.2007 11:58:14 dijo:
+10 por el aporte. Buen esfuerzo. Además, el avatar está muuuuuuuuuuuuy chido!
#6 - DarthLeonidius | 12.09.2007 12:08:12 dijo:
che henshaw que version del nod tenes porque a mi con la v.2.51.30 todo lo que me dijo fue "... cri ... cri ..."
y esta el active sense activado!
urdibelius, gracias
alex rules!
#7 - Gedro | 12.09.2007 12:09:19 dijo:
pues a mi me paso ayer una del msn me dijo eso de que iba a poner en myspace una foto en la que saliamos ella y yo y me extraño por que no me hize ninguna foto con ella pero lo acepte por ver lo que era y hoy buscando en google salio esta pagina y he seguido los pasos me descargue el rootkit unhooker pero cuando me meto en hidden processes detector y borro eso dandole a force kill + file erase parece que se borra el archivo pero al cerrar el programa y meterme otra vez el archivo vuelve a salir, aver si podeis ayudarme. Graciasss
#8 - DarthLeonidius | 12.09.2007 13:04:17 dijo:
probaste entrar en el editor de registro (regedit)
y borrar estas claves?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Lsass Services
ahora no mme auerdo bien como decia pero en el regedit te dice de donde proviene cada clave la que sea de esta direccion borrala!:
"c:\WINDOWS\system" ojo en la carpeta system no system32
#9 - Gedro | 12.09.2007 14:29:33 dijo:
ya esta todo arreglado muchas gracias
#10 - DarthLeonidius | 12.09.2007 14:33:45 dijo:
que bueno me alegro! un placer!
ahora que entraste no abandones esta maravillosa comunidad!!
#11 - fumandoenlaoscuridad | 12.09.2007 15:14:51 dijo:
che te dejo 5 .. de onda.
#12 - kraxy | 12.09.2007 15:47:45 dijo:
+10
#13 - Nikolito | 12.09.2007 15:48:16 dijo:
estoy en el trabajo y uso ebuddy, cuando me dijo un contacto
"voy a poner esa foto de nosotros en mi blog ya" le dije "que bueno, despues lo miro" pero no me mandó ningun archivo o debe ser que con ebuddy no se pueden recibir...
estaba entonces infectada la maquina de mi compañera?
#14 - Aponcho | 12.09.2007 15:58:29 dijo:
Asi es nikolito, te salvaste por un pelo!
#15 - pablitobig | 12.09.2007 17:24:23 dijo:
muy bueno...y bienvenido ya sos full!!! +10
#16 - DarthLeonidius | 12.09.2007 18:08:02 dijo:
Gracias a todos! ya soy grande mama!
gracias a todos por sus comentarios y sus puntines!
la verdad que no creia hacerme full con este post, era solo informativo...
gracias totales....
#17 - fabiosalieri | 21.12.2007 01:13:09 dijo:
ahora ya viene en ingles. bah a mi me lo mandaron asi pero no lo acepte por esta razón: "para que carajo va a poner una foto en un rar si se pasa joya sin comprimirla?" entonces me di cuenta despues que es un virus. Gracias por el aporte.
gracias!! el boludo de mi hermano bajo el zip ese de mierda
.lo voy a cagar a palos .te dejo 10. #2 - Lescoumes | 12.09.2007 07:46:56 dijo:
metall, un amigo estubo batallando ayer contra este
buen aporte!!!#3 - DarthLeonidius | 12.09.2007 09:30:27 dijo:
prueben on ese programa si tienen problema con los procesos...
gracias RAuraus por los taringuines!
#4 - HenShaW | 12.09.2007 11:41:45 dijo:
buena info, dentro de todo clara. por suerte mi desconfianza pudo mas ke mi curiosidad (NUNCA recibo archivos sin estar seguro de lo ke son) pero tengo una pc de un amigo aca en casa (estan con cable cruzado) ke lo recibio no se de kien y su msn se puso a mandarlo a full a sus contactos. como dije en otro lado, el nod32 fue el unico ke detecto algo raro :S. van puntos
#5 - urdibelius | 12.09.2007 11:58:14 dijo:
+10 por el aporte. Buen esfuerzo. Además, el avatar está muuuuuuuuuuuuy chido!
#6 - DarthLeonidius | 12.09.2007 12:08:12 dijo:
che henshaw que version del nod tenes porque a mi con la v.2.51.30 todo lo que me dijo fue "... cri ... cri ..."
y esta el active sense activado!
urdibelius, gracias
alex rules!
#7 - Gedro | 12.09.2007 12:09:19 dijo:
pues a mi me paso ayer una del msn me dijo eso de que iba a poner en myspace una foto en la que saliamos ella y yo y me extraño por que no me hize ninguna foto con ella pero lo acepte por ver lo que era y hoy buscando en google salio esta pagina y he seguido los pasos me descargue el rootkit unhooker pero cuando me meto en hidden processes detector y borro eso dandole a force kill + file erase parece que se borra el archivo pero al cerrar el programa y meterme otra vez el archivo vuelve a salir, aver si podeis ayudarme. Graciasss
#8 - DarthLeonidius | 12.09.2007 13:04:17 dijo:
probaste entrar en el editor de registro (regedit)
y borrar estas claves?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Lsass Services
ahora no mme auerdo bien como decia pero en el regedit te dice de donde proviene cada clave la que sea de esta direccion borrala!:
"c:\WINDOWS\system" ojo en la carpeta system no system32
#9 - Gedro | 12.09.2007 14:29:33 dijo:
ya esta todo arreglado muchas gracias
#10 - DarthLeonidius | 12.09.2007 14:33:45 dijo:
que bueno me alegro! un placer!
ahora que entraste no abandones esta maravillosa comunidad!!
#11 - fumandoenlaoscuridad | 12.09.2007 15:14:51 dijo:
che te dejo 5 .. de onda.
#12 - kraxy | 12.09.2007 15:47:45 dijo:
+10
#13 - Nikolito | 12.09.2007 15:48:16 dijo:
estoy en el trabajo y uso ebuddy, cuando me dijo un contacto
"voy a poner esa foto de nosotros en mi blog ya" le dije "que bueno, despues lo miro" pero no me mandó ningun archivo o debe ser que con ebuddy no se pueden recibir...
estaba entonces infectada la maquina de mi compañera?
#14 - Aponcho | 12.09.2007 15:58:29 dijo:
Asi es nikolito, te salvaste por un pelo!
#15 - pablitobig | 12.09.2007 17:24:23 dijo:
muy bueno...y bienvenido ya sos full!!! +10
#16 - DarthLeonidius | 12.09.2007 18:08:02 dijo:
Gracias a todos! ya soy grande mama!
gracias a todos por sus comentarios y sus puntines!
la verdad que no creia hacerme full con este post, era solo informativo...
gracias totales....
#17 - fabiosalieri | 21.12.2007 01:13:09 dijo:
ahora ya viene en ingles. bah a mi me lo mandaron asi pero no lo acepte por esta razón: "para que carajo va a poner una foto en un rar si se pasa joya sin comprimirla?"
entonces me di cuenta despues que es un virus. Gracias por el aporte.
