Ningún antivirus me detecta este virus

Iniciado por SuperDraco, 17 Junio 2011, 15:48 PM

0 Miembros y 1 Visitante están viendo este tema.

SuperDraco

Hola, hace unos dias me infecté por error de un archivo que me bajé de internet.

Uso Windows 7, Al abrir el ejecutable me di cuenta que creaba unos cuantos procesos "epy.exe" "epx.exe" "taskeng.exe" y algunos más que ya no recuerdo, tambien me creó una clave de registro para iniciarse con windows...

En fin, estoy muy indignado, porque si abrí el maldito virus es porque ni Avira, ni asquared, ni avast, ni el NOD me avisaron de que es un virus.

(Quiero aclarar que el NOD es el que tengo instalado en mi PC, los otros son versiones portables, los actualizo y hago un escaneo cuando veo algun archivo sospechoso...)

Se que un virus se puede indetectar, pero estamos hablando de un virus que tiene ya 7 meses, porque el post de donde me lo bajé tiene ese tiempo y no lo han actualizado.

He intentado borrar toda la ***** de este virus manualmente, pero como ningun av me lo detecta... yo no se si aún sigo infectado o no.

¿Esto es muy raro, no? Tengo los AV actualizados a la fecha de ayer, además he subido el archivo a novirusthanks y allí el avira si que lo detecta... quizás sea por el nivel de heuristica, que yo usé un nivel 2, y en esa página quizas usen uno más alto... no se...

Quizás a pesar de que un archivo cree procesos en segundo plano, incluso claves de registro para iniciarse con windows... ¿quizás no sea un virus? (Tengo mis sospechas de que el archivo es un worm-p2p en cuestion...)

Otra pregunta que me viene a la cabeza es... que tipo de virus crea más de 5 procesos?... que yo sepa si fuese un troyano solo habría creado un proceso.. o no?
No he vuelto, solo estoy de paso.


Vjuan_

no hay duda de que el proceso "taskeng.exe" en windows 7, es un virus, ya que este proceso, no existe en windows 7

si indicas la url del virus, entro, lo descargo y lo ejecuto en una VM, para despues analizarlo con antivirus y antispysware, y seguir su comportamiento, con monitorizadores de procesos.

por ultimo, estas en lo cierto, los troyanos solo crean un proceso, al menos, hasta donde sé, y con los que he hecho pruebas.
01001010 00100000 01000011 00100000 01000111

SuperDraco

Cita de: Randomize en 17 Junio 2011, 18:58 PM
http://www.virustotal.com/

Rando eso no me sirve pero gracias, yo ya se que es algún tipo de virus o troyano... pero no se si estoy desinfectado porque el virus en si no lo reconoce ningún av de los que uso...

Por otro lado, quizás lo has dicho para que virustotal mande la muestra a los AV's mMm eso quizás me sirva pero no se cual será el resultado ni lo que tardará en ser detectado... xD




Cita de: Vjuan_ en 17 Junio 2011, 21:42 PM
si indicas la url del virus, entro, lo descargo y lo ejecuto en una VM, para despues analizarlo con antivirus y antispysware, y seguir su comportamiento, con monitorizadores de procesos.

Hola, gracias por tu interés, este es el link:

http://surfclear-media.biz/SQLyog.Ultimate.Edition.8.54.keygen.45064.exe


Cita de: Vjuan_ en 17 Junio 2011, 21:42 PM
por ultimo, estas en lo cierto, los troyanos solo crean un proceso, al menos, hasta donde sé, y con los que he hecho pruebas.

ni que lo digas, joder, la verdad es que que unvirus te cree más de 5 procesos, acojona...
No he vuelto, solo estoy de paso.

Slava_TZD

#4
No lo detecta ningun AV como virus, xq no es un virus, es una app que intenta descargar uno. Salta como sospechoso xq está protegido. Intenta acceder a páginas como fivedo.in o servicetaxis.in para descargar troyanos, rogues...etc

Mas info en donde Microsoft:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader:Win32/Renos.MJ


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.

SuperDraco

#5
Cita de: Tzhed en 17 Junio 2011, 23:36 PM
Intenta acceder a páginas como fivedo.in o servicetaxis.in para descargar troyanos, rogues...etc

me estás diciendo que esos procesos que crea el ejecutable podrian ser troyanos y ahora mismo puedo estar infectado por más de 5 troyanos diferentes!?

(Voy a pasar otro scan enseguida, gracias)

EDITO: ahora todo tiene más sentido, crea muchos procesos porque es un downloader, no habia caido en eso jaja.
No he vuelto, solo estoy de paso.

Slava_TZD

Cita de: pitoloko en 17 Junio 2011, 23:53 PM
me estás diciendo que esos procesos que crea el ejecutable podrian ser troyanos y ahora mismo puedo estar infectado por más de 5 troyanos diferentes!?

(Voy a pasar otro scan enseguida, gracias)

Yo no he dicho eso. Dije que intenta acceder a esas páginas para descargar malware, mas info en la página de Microsoft que te dí.


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.

Randomize

Es obvio que hay que conocer el funcionamiento de un  troyano: recopilar información y abrir proceso de comunicación con el proceso padre.


También creo que es un downloader, es más fino y sofisticado de hecho pasa la protección web de la mayor parte de los antivirus.

.:UND3R:.

Lo más probable, es que sea un gusano o virus 0 day que para evitar que sea borrado crea otros procesos con nombres aleatóreos

una vez tuve algo parecido

si quieres hacer un teamviewer, aplícale a un privado Saludos

Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)

Vjuan_

#9
descargé y ejecute el archivo (virus); SQLyog.Ultimate.Edition.8.54.keygen.45064, en una maquina virtual con SO Windows XP SP2, generó 5 archivos ejecutables(.exe),"Rcubaa.exe" "Rzy.exe" "Rzx.exe" "Rzv.exe" "Rzw.exe", la ruta del 1º C:\Windows\ , los cuatro restantes en una carpeta temporal...el exe en el momento de ejecutarlo o se autoeliminó o se ocultó, pero antes de ejecutar hice una copia y comprimi otra...

los ejecutables;"Rcubaa.exe" "Rzy.exe" "Rzx.exe" han creado cada uno un proceso, ademas "Rcubaa.exe" aparece a veces con dos subprocesos,se conectan a direcciones remotas atraves del puerto 80 (yo nunca logré hacer funcionar un server configurado con el puerto 80 para conectarse con el cliente), lo que mas me ha sorprendido es la gran cantidad de conexiones que abre cada proceso, simultanea y alternativamente, finalizando unas, y comenzando otras, a veces aparece tambien un proceso de nombre "Unknown" y tambien se conecta por el puerto 80, en cada sesion cambia la identidad del proceso (PID)...en todas las conexiones establecidas, la IP local es 10.0.2.15,,, decir tambien que estos procesos son faciles de terminarlos, y de localizarlos, atraves de un monitorizador de procesos.


Tambien ejecuté; SQLyog.Ultimate.Edition.8.54.keygen.45064, en otra maquina virtual con Windows Vista home  premium, aquí todo es diferente, en el momento de ejecutarlo, el Avast pide abrirlo en Sandbox, detecta la URL maliciosa, y como nombre del objeto; fivedo.in/, (si bien cuando se analiza desde el menú contextual, el Avast no detecta nada), el comportamiento  en windows vista es algo anormal el proceso que crea (solo uno) tiene el mismo nombre del ejecutable, e intenta una rara conexion remota 5.5.5.5, por el puerto 80, sin lograr establecerla, ya que se queda en el estado syn sent, en la siguiente sesion ni rastro del virus, para seguir observandolo hay que volver a ejecutar, previa desactivacion del Avast.....ahhh, pitoloko, el link del virus que has puesto, ahora mismo no funciona desde ningun navegador
01001010 00100000 01000011 00100000 01000111