|
|
|
Amigos, en esta oportunidad publico un video en el cual muestro la ejecución, análisis y desinfección en tiempo real del virus Blazebot que se propaga vía MSN enviando mensajes a los contactos de mensajería instantánea a.k.a. MSN y también por Memorias USB.
En este caso teniendo una muestra que conseguí, ejecuté el virus en una máquina virtual y en otras 3 máquinas virtuales que serían los contactos del infectado 0 (”cero”) ( Porque es el que inicia la infección en la Ecuación ).
Creo que el video está lo suficientemente explicado de modo que sólo hay algunos puntos que aclarar.
1. Hice uso de 4 máquinas virtuales usando VirtualBox (Excelente programa de virtualización y GRATIS!).
2. Creé varias cuentas de MSN para cada máquina.
- Máquina Virtual Infectado 0 (”cero”), el que inicia la infección.
- Máquina Virtual Víctima Inicial, primera Victima, y usa el navegador Internet Explorer versión 6.0
- Máquina Virtual Segunda Víctima, contacto de la Víctima inicial y cuyo navegador es Mozilla Firefox v. 3.5
- Máquina Virtual Tercera Víctima, contacto de la Víctima inicial y cuyo navegador es Internet Explorer v. 8.
3. Este malware se caracteriza especialmente por redirigir a una página que supuestamente tiene una IMAGEN, pero en realidad contiene código JavaScript que intenta explotar una vulnerabilidad de los navegadores en el tratamiento de IFRAMEs de modo que con solo visualizar el sitio web se descargue y se ejecute el malware de forma automática.
De este modo con el solo hecho de hacer click en el mensaje recibido puede que ya te infectes, sólo depende del navegador que uses. Así que mejor ni hagas click en los mensajes que te llegan, si tu navegador es vulnerable, TE INFECTARÁS!.
Como verás no hay necesidad ni siquiera de descargar el archivo y hacerle doble click.
4. Una vez infectado el sistema, el virus se engancha al proceso explorer.exe y usa un nombre de un archivo del sistema: winlogon.exe de modo que no pueda ser terminado el proceso, ya que winlogon.exe es un proceso crítico del sistema.
5. Impone restricciones de acceso al registro del sistema, a la línea de comandos, a la vizualización de Archivos ocultos, etc.
6. Cierra procesos de programas de detección, tales como Hijackthis, A2hijackfree, Process Explorer, etc
El video está para descargar en 4 partes:
Descargar Parte 1
Una vez que descargas los 4 archivos, la forma de descomprimir y unir los archivos es haciendo click derecho sobre el archivo llamado:
Analisis y eliminacion de blazebot MSN por MyGeekSide.part1.rar
y seleccionar la opción Extraer aquí de Winrar.
Luego de unos minutos tendrás el video.
Si no puedes reproducir el video, es muy probable que te falte el códec de video adecuado, en este caso puedes descargar el KLite Codec Media Pack, y lo puedes descargar de aquí:
KLite Codec Pack
Amigos, espero que les guste y que les ayude el video.
Saludos,
Felipe
NOTA: El video está en formato AVI, y su tamaño es de 400 MB, intenté reducir de tamaño pero la resolución se perdió mucho y casi no se veia, si alguien encuentra la forma de disminuir el tamaño sin perder demasiada resolución póngase en contacto conmigo por favor a :
admin@mygeekside.com.
NOTA PARA QUIENES NO TEMAN A NADA: Tengo la muestra del virus para que lo prueben en máquinas virtuales o en su PC y siguiendo el video puedan eliminarlo, pero bajo su propio riesgo. Los que deseen la muestra me envían un correo a:
admin@mygeekside.com
September 10th, 2009 at 5:36 pm
hola felipe. tu página es recontra interesante. sabes ayer tuve un problema con mi pc.
instalé algunos programas, copié archivos de mi usb, etc. el problema fue cuando abri el explorer y
seleccioné mi unidad d: y mis archivos desaparecieron o mejor dicho
se ocultaron.
doctor ahi tengo información de mucha importancia.
que tipo de virus infectó mi pc? y, cómo lo soluciono?
por favor me gustaría saber de alguna ayuda tuya.
gracias de antemano. seguiré leyendo tu página.
September 10th, 2009 at 5:49 pm
Hola Denis:
Hay diferentes tipos de virus, algunos de ellos ocultan tus archivos y carpetas y crean nombres similares,
pero ejecutables. Si este es el caso, probablemente tu información
esté oculta. Una forma de verificarlo sería accediendo por consola y
acceder a la unidad por medio del comando:
E: y Enter
si es que tu Memoria tiene asignada la unidad e:
Y luego ver los archivos ocultos con el comando:
dir /as
y
dir /ah
En el peor de los casos, si es que los archivos fueron borrados de tu
memoria, te recomiendo que no grabes ningn archivo o carpeta por el
momento y usa el Programa Easy Recovery Professional o similares
para recuperar la información borrada.
Saludos,
Felipe
September 10th, 2009 at 5:50 pm
A jugar se a dicho…
September 10th, 2009 at 10:41 pm
Como siempre, excelente felipe!
September 11th, 2009 at 1:29 am
Que tal compañero, muchas gracias por este tutorial esta interesante, justamente ayer me la pase quitando ese virus o al menos uno de tantos que mis hermanos permitieron que entraran. Lo logre quitar utilizando otra metodologia, entre en modo seguro, ejecute el Trojan Remover y despues El Malwarbytes, ya despues pudo utilizar el msconfig, pero si es muy siniestro ess virus. No se si sea el mismo virus, pero en mi usb me generaba infinidad de carpetas, utilizando como nombre una combinacion de caracteres aleatorios, pero bajare tu script por si las moscas, felicidades por tu blog esta muy bueno
September 11th, 2009 at 2:04 pm
Que mas felipe como andas; men rebakana tu pagina siempre la visito cuando puedo grax por compartir tus conocimientos y asi poder unirnos todos contra el software malicioso xD
Salu2 desde CoLoMbIa segui asi felicitaciones vemos XD
September 11th, 2009 at 5:46 pm
Gracias ppor esa valiosa inofrmacion, no tienes algun scrip o algun programa para eliminar el virus.
September 11th, 2009 at 6:02 pm
felipe gracias. otra pregunta averiguando encontré que el posible virus es un AUTORUN.INF ó SXS.exe digamos que este virus es el responsable de ocultar las carpetas, con las propiedades que me das puedo ver mis archivos el problema que le doy botón derecho y propiedades y el chek oculto está desactivado y, por ende no me permite copiar mis archivos porque están ocultos. ¿sabes de algún script que elimine este virus? te lo agradecería enormemente. de antemano gracias felipe
September 11th, 2009 at 6:05 pm
me olvidaba este virus por alguna razón sólo oculta la información de la unidad d:, el resto de unidades si muestran la información que poseen. Espero contar con tu ayuda. gracias
September 11th, 2009 at 8:05 pm
Lo más indicado sería, que actualices el antivirus, y hagas un escaneo de todos los discos duros, en modo seguro, y luego procedas a reparar los daños; sin embargo, puedes usar también la utilidad de RESTAURAR SISTEMA, para regresar a un punto de restauración anterior a la infección, tomando en cuenta que se van a eliminar todas las configuraciones que haz realizado desde esa fecha a la actual y se eliminaran todos los ejecutables guardados en ese período.
September 11th, 2009 at 11:03 pm
Saludos Felipe…En lo que llego a entender el Registro de Windows, al calibre de virtuosidád al cuál tu lo dominas, te pregunto…Es posible eliminar el Blazebot utilizando una herramienta anti-malware bootable como el Dr.Web LiveCD o Ultimate Boot CD for Windows? O solamente se puede lograr de manera manual?
September 14th, 2009 at 1:50 pm
ya logre eliminar el virus amvo y el autorun.inf ¿cómo? pues utilicé el antivirus kapersky y
funcionó ¡es lo mejor!, felipe creo que tienes que repensar tus scripts ya que en mi opinión
estos virus se actualizan constantemente, es por eso que tus scripts ya no tienen ningún
efecto sobre ese archivo, porque no lo visualizan, no lo borran, tampoco lo inutilizan, etc.
seguiré leyendo tu página. es muy buena.
September 16th, 2009 at 9:57 pm
Oe apo porque mejor no me amas right now,, jejeje ta pasa la pagina ya lograre poner todos mis conocimientos web, tengo que llegarme a dominar mas jeje, oe mas tarde me amas…Josue
September 19th, 2009 at 3:03 pm
ALA MIERDA QUITAS LAS GANAS DE BAJAR EL VIDEO SABENDO QUE ESTA EN RAPIDSHARE Y ENCIMA PESA COMO UNA PELIDUCLA DE DVD.. NEXT
September 20th, 2009 at 12:23 am
Hola, he estado siguiendo tu pagina cuando publicaste el script para eliminar los virus de memorias usb: me parece excelente tu forma de detectar y eliminar los virus, pero tengo un problema: mi computadora se contagio por un virus que no se si fue por la memoria o por el internet, pero a la hora de ejecutar todos los trabajos que mencionas, el equipo se reinicia sin que lo pueda detener, incluso tambien en modo seguro, por lo que tuve que formatear mi equipo. No se si conozcas este virus, y si tienes alguna sugerencia para poder evitarlo o quitarlo sin formatear te lo agradeceria. Saludos y felicitaciones por tu excelente página.
September 21st, 2009 at 5:00 pm
Hola Felipe, muy buenos los análisis que realizas con respecto a los virus, quisiera que me envies una muestra del virus para seguir su secuencia, además tube un problema con un virus llamado winlogon.exe y que se colocaba en la carpeta datos de programas y dentro de una carpeta S03-2373-GEYTAW-2676-TYAW o algo asi dime es el mismo virus, por que si es asi te agradecere enciarme una copia ya que cuando lo elimine despues de tato esfuerzo no lo habia copiado, gracias.
September 22nd, 2009 at 2:25 pm
ESC:
Efectivamente, es el mismo virus.
Te remitiré la muestra a tu correo.
Saludos,
Felipe
October 6th, 2009 at 8:39 pm
Hola Felipe, gracias por compartir con todos tus conocimientos, me gustaria saber si puedes enviarme una muestra del virus a mi correo, para poder seguir tu video. Gracias.
October 12th, 2009 at 5:01 pm
Felipe tus blogs son muy interesantes pero el problema que traté de bajar el libro The Art of Computer Virus Research & Defense y pasé 6 horas esperando a que Megaupload diera luz verde y nada, lo mismo pasó con los videos telvez si hubiera alguna manera más rapida de bajarlos te estaré eternamente agradecido sigue con tus blogs son muy informativos.
October 16th, 2009 at 11:29 am
[...] unos días Felipe hizo un excelente video donde explica todo el proceso de infección y eliminación del molesto virus Blazebot, cuyo medio de propagación es el Messenger y las memorias USB, el video es relativamente pesado, [...]
October 17th, 2009 at 12:43 am
IpzitO that´z the reazon!!!
you really rock!!… i love you page!!*–a las 8.30 iremos a comer!! jiji
November 1st, 2009 at 8:43 am
Hola Felipe!!.. muy bueno este tutrial y toda la inforación de ayuda para la eliminación y mantenimiento de la pc. Tengo una consulta, te explico, en mi computadora utilizo 3 browsers: IExplorer, Firefox y Flock, 2 de estos, los 2 primeros fueron afectados igual que el MSN, pero no el Flock. Estos no se pueden conectar a Internet incluso cuando hay internet. Quisiera saber si es lo mismo de este Blazebot.. porque no tengo problema con nada más, solamente con la conección de esas 3 cosas. Uso AVG Antivirus free, Malwarebytes’ Anti-Malware, y ahora ultimo Avira AntiVir( pero no puedo lograr hacerle el update){asumo que es x lo de la conección de IExplorer} para proteger mi computadora, estube usando Avast, pero como que se desinstaló en los días de lo que ocurrido en los 2 browsers y el msn. No se que hacer y no quiero formatear..Agradecería toda la ayuda posible! Gracias
November 11th, 2009 at 1:34 pm
Buenas Felipe, me podrías enviar una muestra de este virus o el hash para bajarlo desde offensivecomputing. Quiero analizarlo en mi maquina virtual. Gracias
November 22nd, 2009 at 3:34 pm
La verdad la solucion tambien se pudo haber implementado de otra manera. pero esta demas que la suma de los factores no modifica el resultado. Bueno para los que han tenido ese tipo de problemas también pueden implementar los viejos comandos de MS-DOS ejemplo si de pronto te fijas que tu USB no te muestra los archivos
En lo personal tambien doy servicio y he aprendido que no esta de mas manejar la vieja escuela cuando un antivirus no encuentra un virus X no me creo lo que reporta existen multiples formas de analizar una infección la primera seria observar el MSCONFIG a ver que servicio raro se esta ejecutando luego de verificado le daria Ctrl+Alt+DEL para invocar la barra del administrador de tareas y servicios pero si la maquina esta restringida el caso cambiaria, por si las moscas no ejecutaria ni NOD, Ni avast, Mucho menos norton aunque no lo crean por mucho tiempo fui defensor de estos pero me di cuenta que son medio completos cuando se encuentran con polimorficos tipos virut que son la nueva moda en esos casos ni Kaspersky, ni AVG otros de los que siempre eche mano la verdad la solucion la encontre con otros antivirus pero como este foro no es para echarle vivas a ningun fabricante solo les dire que aunque casi nadie lo menciona es uno de los mas completos y bueno era de la vieja moda ahora ya olvidado, bueno chicos a leer mas y aprender mas saludos a todos