Los links a VT no funcionaron para mi (y NO es por el doble http). El link a Jotti sí funciona.
Dado que algunos AV no identifican ningún malware y otros sí, me pregunto si realmente es malware (que todavía no es completamente identificado por todos) o es algún FP, siendo una aplicación “de seguridad”.
Mi primera recomendación es que onakiri consiga algún manual de usuario (en algún idioma) sobre el producto que adquirió para saber primero cómo se supone que funciona y si este autorun.exe es o no correcto. Si hay algún link a algún manual (aunque no sea en español), puede ser útil pegarlo aquí también.
Puff, es que ni se que modelo de USB es, ya que en el USB no pone nada y tampoco tengo la caja ya que lo tengo hace casi 1 año, en la web tampoco encuentro el modelo del USB ya que esta en chino y no entiendo nada. Si no hay otra opción entonces me aguantaré con este USB hasta que me compre uno nuevo
En mi opinión sí que se trata de algún tipo de malware…
Avira
Bitdefender
Gdata
Los motores de los antivirus anteriormente citados son considerados junto al del Avast, kaspersky, Norton y F-Secure los más potentes del mercado y no lo digo yo, sino las estadísticas. Como referencia puedes echar un vistazo a www.av-comparatives.org y mira el ranking de detecciones por antivirus y verás de lo que te hablo. GDATA incluso utiliza dos motores y lo ha detectado como un troyano.
En mi humilde opinión y no digo que yo tenga razón y los demás no, no creo que sea un FP (Falso Positivo) debido a que son muchos y de los mejores antivirus del mercado los que detectan autorun.exe como amenaza… Además que no es habitual ni lógico que desde un fichero autorun.inf se llame a un fichero “oculto”, como en este caso es autorun.exe. Lo normal es que llame a algún fichero de instalación tipo “SETUP.EXE” “config.exe” ó PEPITO.EXE si lo prefieres, pero NUNCA a un fichero oculto.
He tenido en mis manos muchas muestras de virus de llave usb y en el 95% de los casos actúan de la misma forma que en tu caso, es decir, modifica el fichero autorun.inf y se copian al pendrive con el nombre autorun.exe y le ponen el atributo oculto (+h) al archivo para pasar desapercibido a los ojos del usuario. De hecho si quieres hacer una prueba, inserta un CD de algun juego y/o programa original y mira el contenido del fichero autorun.inf… Verás como llama a un fichero .EXE que NO SE ENCUENTRA OCULTO en el disco, podrá estar a lo mejor, en una carpeta diferente a la raíz \ pero NUNCA oculto…
Si quieres un consejo, yo abriría un hilo en el foro de viruses&worms ( http://forum.avast.com/index.php?board=4.0 )y les enviaría el fichero autorun.exe comprimido en un zip con contraseña.
Ponle por ejemplo de contraseña “Infected” o “virus” y enviáselos por email a virus@avast.com pero abre un hilo en el foro para que estén al tanto… Diles que tu antivirus AVAST lo detecta pero no lo elimina… La detección que te están haciendo los motores antivirus son genéricas, es decir, no te están identificando a un troyano específico sino que tiene “rastros” o “características” similares a las de los troyanos en su código… Yo si quieres un consejo haría eso y sobre todo, no sigas usando ese pendrive ni lo insertes en otro sistema hasta que te respondan los del laboratorio de avast.
Yo soy informático y desarrollador pero no pertenezco al equipo de Avast (ojalá) y no quiero meterme donde nadie me llama ni asesorarte profesionalmente ya que para eso está el equipo de Avast el cual te garantizo que son unos magnificos profesionales y muy competentes.
Yo lo único que hago es desde mis más de 15 años de experiencia como profesional en el mundo de la informática, en concreto en los campos de programación y seguridad informática es intentar ayudar y aconsejar a los demás usuarios.
Yo que tu esperaría también las opiniones de otros miembros del foro ya que yo, y lo quiero dejar claro, no pertenezco al equipo de Avast; simplemente soy un usuario como tú al que le gusta mucho avast y que confía en su protección.
Pero si quieres mi opinión, se trata de un malware en toda regla…
Quiero dejar claro que NO he dicho que no sea un malware, pero tampoco sé con absoluta certeza que sí lo sea.
Acaso esto apareció recientemente? Qué pasaba antes, durante este último año?
Si estás interesado, hay software (portable) que puede ayudarte a identificar el modelo, pero no puedo asegurarte nada, y es posible que te pueda confundir más que lo que pueda ayudarte.
Es nueva esta “partición” que aparece como CD? O ya existía desde antes?
No me queda claro qué pasaba hasta ahora. Qué cambió?
Yo no digo que sea una malware , yo lo que he dicho es que “en mi opinión” y basándome en mi experiencia SI que es un malware pero lógicamente, somos humanos y cualquiera se puede equivocar y cometer errores, pero creo que es esa la base del aprendizaje, lanzar hipótesis, algunas serán correctas y otras no, y a partir de la experiencia, aprender, pero en ningún momento lo dije por ti ady4um ni por nadie en absoluto, simplemente di mi opinión como tu has dado la tuya y no creo que sea cuestión de quien tenga ó no razón sino de ayudar a resolverle el problema al amigo onakiri…
En muchos casos, “características de seguridad” son muy parecidas a algún malware.
Lo que traté de expresar es que no estamos hablando de “tener razón o no”. No hay contradicciones.
Onakiri, si decides eliminar el archivo autorun.exe (cosa que aun no sabes cómo hacer), no tandrás forma de recuperarlo en el caso que descubras que es parte de la “seguridad” de tu UFD, en lugar de ser un malware.
Dado que de todas formas no sabes como eliminarlo (toda la “partición” te aparece “de solo-lectura”), mi propuesta es que investigues más a fondo las características especiales de tu UFD.
Siempre podrás eliminar definitivamente “todo”. Como no tengo en claro qué ha pasado “ahora” que aparece este “nuevo” sospechoso, mi posición suele ser mas conservadora e investigar más, antes de tomar decisiones irreversibles.
Si el UFD no tuviera estas características especiales de seguridad, no tendría ninguna duda en coincidir en que es probablemente mejor eliminar el archivo (o ponerlo en el chest de Avast). Las características “de seguridad” del UFD, y el hecho de que no conozcamos qué sucedió ahora para que este problema salga a la luz (en lugar de haberlo hecho un año atrás), es lo que me hace ser más cauteloso en este caso en particular.
Si luego de tener el USB use el sistema solo 1-2 semanas luego ya no lo uso a si que si pudiera eliminar aunque solo sea el autorun.exe o toda esa partición sería mejor y si no hay forma seguiré las instrucciones de Populous
Edit: Por cierto no es que la partición apareció, tarde tanto en poner un post aquí por que antes apenas utilizaba el USB e ignoraba a avast! de que me decía que era un virus pero ahora que lo utilizo más empiezo a preocuparme
Edit2: sorry si tardo en contestar
Se recomendo que abrieras un topico en " Viruses and worms ". Populous te recomienda que mandes el archivo a virus@avast.com para estar seguro de que es un F/P o si de verdad es una infeccion.
Lo comprimes, usa ZIP o RAR. Nombralo F/P ? Lo aseguras con un password, virus. Añade al archivo una nota " Avast can not clean ".
Tanto VT and Jotti detectan " algo " y digo algo porque ha sido mi experiensa que no siempre ellos estan correctos. Si mas del 60% detectara y definitivamente te muestran el sello de malware, arriba y a la derecha, es otra cosa. Si Avast detecta algo GData tambien porque usan el mismo buscador asi que no cuenta.
Como no conocemos el producto y sabemos que un producto puede comportarce como malware, solamente ve Google, y ahora con el euristic analisis hay suficientes F/P, pero si Populous con su experiencia te asegura que esta infectado, su opinion, y Avast no lo limpia, bueno eso es cosa de Avast averiguar como hacerlo. Tu mismo lo has dicho: Lo has formateado, has usado las herramientas que se te aconsejaron y todavia, todavia el programa con el archivo esta ahi.
No se esta llegando a nada con este hilo porque se estan repitiendo las cosas de otra manera y cuando los hilos se alargan los que te estan ayudando, que normalmente leen otros muchos hilos, pierden lo que se pregunto al inicio.
Como dicen los gringos " la bola esta de tu lado del patio " y es tu turno. Buscate un amigo que sepa ingles y abre un hilo en Viruses and Worms y manda ese archivo a virus@avast.com.
Tanto los consejos de Populous, ady4um, y mios son nuestra propia opinion pero sin mas evidencias fisicas, como tener pen drive, tener el manual, leer chino, etc, solo podemos ir dando opinones en circulos.
Estimado amigo iroc9555 ! , no podría estar más de acuerdo contigo! Ahora creo que es el momento de que Onakiri mueva ficha y envíe esa muestra al laboratorio de muestras de avast para que ellos lo analicen y descartar de una vez por todas que se trate de un malware. Es que es lo que tu comentabas Iroc9555, sin el pendrive en nuestras manos, ni el archivo posiblemente infectado, ni nada de nada, no hacemos más que dar palos de ciego y hacer conjeturas basándonos en la poca información que tenemos…
En fin, a ver si finalmente Onakiri consigue solucionarlo y nos desvela el misterio!
Un saludo!
PD:
Onakiri, ¿Por qué no envias de nuevo el archivo autorun.exe a www.virustotal.com? Es que el último análisis que enviaste no pudimos ver los resultados porque las url’s fallaban y sería muy valioso ver esos resultados… Sin lugar a duda viendo el resultado en virustotal podríamos hacernos una idea mucho más amplia de si se trata de un malware ó no, ya que yo comparto también la valoración de amenazas que hace Iroc5995 en cuanto a si una amenaza es detectada por al menos el 60% de los antivirus y sale el avatar de “malware” en la zona superior derecha de la pantalla podemos asegurar con muy poco margen de error que se trata de un malware, es que jotti.org está bien pero sirve para hacerte una idea pero tampoco es muy fiable ya que son pocos motores los que analizan… Ten en cuenta que los servicios tipo virustotal.com lo que hacen es analizar a “demanda” archivos, es decir, los analizan buscando amenazas que se encuentran plenamente identificadas en sus bases de datos de firmas antivirus, pero no utilizan la heúristica antivirus para detectar amenazas desconocidas, ni defensas proactivas (basadas en comportamiento), etc,. Pero estos servicios SI sirven al menos para ver si hay “algo” malo ó al menos “extraño” en los archivos…
Inténtalo una vez más y pega la url de la página de los resultados para verla… pero no dejes de enviar los archivos a virus@avast.com tal y como te indicamos y siguiendo las instrucciones de Iroc9555 en el envío vale?
Suerte y esperemos que se te solucione el problema!
Si bien coincido en que requerimos más datos precisos (como el modelo exacto o el link al manual, o si es un UFD o un MP3), quiero aclarar algo que seguramente se escapa un poco, justamente por las vueltas que le estamos dando al tema.
Se trata de:
Lo que onakiri ha formateado no es la “partición” en donde se encuentra el autorun.exe, sino la otra. La parte que es de “sólo-lectura”, que es parte de la característica de seguridad del UFD/MP3 player, es la que contiene el autorun.exe.
A pesar de que no hemos recibido clara respuesta sobre varias preguntas, aquí agrego un par de links para quien pueda interesarle.
Estas herramientas son parcialmente avanzadas y potencialmente “peligrosas” en manos de quien no sabe lo que hace.
Lo reitero: ambos productos deben ser utilizados con cierto cuidado y conocimiento, en especial Bootice (o utilidades equivalentes). Si no es usado correctamente, puede incluso arruinar el boot normal del sistema o borrar la partición erronea.
Onakiri, por favor contribuye con las respuestas requeridas para poder avanzar.
==================================================
Nombre del Dispositivo: Port_#0008.Hub_#0005
Descripción : Teclast CoolFlash USB Device
Tipo de Dispositivo: Almacenamiento Masivo
Conectado : Si
Desconectar de Modo Seguro: Si
Disabled : No
Hub USB : No
Letra de la Unidad: H:, J:
Núero de Serie : 00000000000103
Fecha de Creación : 23/10/2011 21:40:21
Fecha de la última Conexión/Desconexión: 23/10/2011 22:17:26
Código del Vendedor: 1307
Código del Producto: 0165
Firmware Revision : 1.00
Clase USB : 08
Subclase USB : 06
Protocolo USB : 50
Hub / Puerto :
Nombre del Equipo :
Nombre del Vendedor:
Nombre del Producto:
ParentId Prefix :
Service Name : USBSTOR
Service Description: Controlador de dispositivo de almacenamiento USB
Driver Filename : USBSTOR.SYS
Device Class : USB
Device Mfg : @usbstor.inf,%generic.mfg%;Dispositivo de almacenamiento USB compatible
Power : 98 mA
USB Version : 2.00
Driver Description: Dispositivo de almacenamiento USB
Driver Version : 6.1.7601.17577
Instance ID : USB\VID_1307&PID_0165\00000000000103
==================================================
Que tengo que ver para saber el modelo del USB, respecto a si es USB de almacenamiento o mp3, es USB de almacenamiento como indica el resultado de arriba. Sobre la herramienta Bootice leeré atentamente alguna guia en internet y os comentaré el resultado
Dejo el reanalisis del archivo Autorun.exe http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319298227
Si sigues sin poder verlo me dices que es lo que quieres ver concretamente y te lo pego aquí
Lo del enviarlo al equipo de AVAST!, ademas de adjuntar el archivo de mensaje pongo " Avast can not clean " no? y al abrir un post en “Viruses and worms” pongo lo que puse en el primer post y les digo que envié el archivo a virus@avast.com?
Result: 22 /43 (51.2%) - Una tasa de detección del 51,2 % -
Hola de nuevo onakiri, ahora ya no tengo ninguna duda.
Si esto fuera el recuento de votos de unas elecciones generales, sería MAYORÍA ABSOLUTA ya que es la mitad de los votos + 1 ;D
No sé que opinarán los demás pero yo no tengo la más mínima duda de que se trata de un malware en concreto perteneciente a la familia Caballos de Troya ó vulgarmente conocidos como Troyanos. Sólo hay que mirar los resultados del análisis… más del 50% de los antivirus lo detectan como una amenaza. Pero una vez más indico, es MI OPINIÓN cómo los demás también podrán tener la suya propia.
Yo por mi parte doy por terminada mi intervención en este hilo porque ya no tengo nada más que aportar porque para mi está claro y desde un principio lo tuve siempre muy claro que se trataba de un malware pero quería estar seguro y descartar otras posibilidades y ahora ya le toca el turno al laboratorio de avast y el foro de viruses & worms para que te digan como limpiar el UFD (USB Flash Disc ó pendrive/usb/stick usb/ para los amigos ;))
Lo que debes hacer es enviarlo siguiendo las instrucciones que te comentaba el amigo Iroc9555 en su anterior post y no olvides ponerle contraseña al archivo ó no lo podrás enviar por email. Avast dispone también de un analizador online en la siguiente url: http://onlinescan.avast.com/
Te busqué un poco de información sobre la amenaza que te ha detectado AVAST y los demás antivirus:
Información sobre el malware detectado:
Trojan Generic (que también puede ser llamado Trojan.Generic, TrojanGeneric) es un programa Troyano que puede contener un programa malicioso o puede llevar a cabo acciones que el usuario ni siquiera notó. Trojan Generic actúa de manera muy agresiva e incluso puede destruir el sistema de la computadora del usuario y robar datos personales. En ocasiones incluso los programas antivirus no pueden borrar este Troyano. Trojan Generic puede permitir que usuarios de otras computadoras tengan un total acceso al sistema de su computadora o a través de una brecha en la seguridad. El Trojan Generic se debe detectar y borrar lo antes posible por su propia seguridad. Fuente: / pcthreat.com
PD: Si quieres un consejo, en el caso de que finalmente no consigas limpiar ese pendrive, tíralo a la basura… Yo te recomiendo la marca “VERBATIM” que son muy buenos y están bastante bien de precio. Hay algunos que incluso tienen un pequeño interruptor que evitan su escritura y por consiguiente puedes evitar que sea infectado si utilizas tu usb stick en un pc diferente al tuyo.
La única duda que me queda es la que comenté en mi post anterior (incluso antes del reporte de VT). Para ponerlo en otras palabras, un determinado antivirus puede detectar a otro antivirus (o a otro software de seguridad) como si fuera algún tipo de malware. Esto es especialmente cierto cuando la identificación es “general” (como en este caso, al menos parcialmente).
Las características que muestra el link de onakiri incluyen algún comentario sobre encriptación incluida (que es claramente parte de software de seguridad).
Los laboratorios de Avast requieren este dato para correctamente determinar si realmente es un troyano. De la misma manera que si se envía un exe de algún software de seguridad, sin aclarar de qué se trata realmente, los labs de Avast no podrían sino concluir que se trataría de un malware. Es por esto que hay opciones de “exclusión” o “excepción”
Onakiri, quizás es sólo cuestión de liberar algún botón de protección de solo lectura del UFD para poder sobrescribir ese archivo?
Me llama la atención que siendo un troyano, no lo hayas encontrado en tus equipos, (contagiado por el uso del UFD).
No es sólo el archivo especifico (que, en situaciones más simples, podría haber llegado al UFD por varios medios). El hecho de que haya una “partición” de sólo-lectura identificada como CD es una indicación de que eso no llegó allí mediante una simple copia o simple infección de un troyano.
Si deseas deshacerte de todo eso, Bootice puede reparticionar todo el UFD, eliminando esa partición (al menos, puede hacerlo en teoría). Pero si hay algún botón físico impidiendo la escritura del UFD (o de la “partición” identificada como CD), nada puede remover este archivo (de la misma manera que no podrías remover un archivo MP3 o wav de un CD-R).
Quizás puedes consultar sobre las características de este modelo específico de UFD con el lugar en donde lo adquiriste (o en algún competidor).
Repito aquí que Bootice puede hacer mucho daño si es mal utilizado.
Ya probé bootice, pero nada, me sigue apareciendo la partición CDFS, también busque por google sobre como eliminar particiones CDFS pero tampoco me funciono. Ahora me pondré a redactar el correo a avast a ver si me lo puede solucionar ellos
PD: el USB no lleva ningún botón/interruptor para ponerlo en solo escritura
Edit: Puse un topic en viruses and worms pero el archivo no me deja enviarlo desde Gmail ni desde Hotmail, me dicen que no es posible enviar archivos ejecutable, ¿alguna solución?
Ese caso es en Ubuntu, y el nombre específico no es autorun.exe, pero el problema es prácticamente el mismo, y la solución ofrecida (switch read - only on/off) es la misma. El usuario reporta que le ha dado resultado, y se trata del mismo modelo de UFD.
Como lo he dicho antes, si la “partición” está marcada como CD “read-only”, no puede borrarse. Nuevamente volvemos en círculos a que se requiere un manual (o un link a uno).
Ayer habia enviado el archivo por avast manualmente, y ahora siguiendo el mini-tutorial de iroc9555 y he conseguido enviarlo, muchas gracias por el mini-tutorial y por haberles explicado al foro de “viruses and worms”
No hay de que. El trabajo de informacion y busqueda fue hecho por Populous y Ady4um.
Esperemos que se interesen y contesten en el forum de " Viruse and Worms ". Como se posteo durante el fin de semana puede que tarde par de dias, si no haz un reply y escribe:
I have not recieved any news from the Avast team about the sample I sent. I would like some one to tell me what to do. If it is realy infected, or is it a F/P ?
De todas forma cheque si el pen drive todavia es detectado como infeccioso porque puede venir en una actualizacion de Avast que ya no lo detecte. SI es un F/P.
