Hola comunidad. Soy usuario de avast! Free desde hace mas de un año, hace unos días me baje un patch, resulto ser un virus y por desgracia avast! si siquiera lo detecto como si no hubiese existido. Por suerte tenia a mano el Malwarebytes’ Anti-Malware y junto al SUPERAntiSpyware Free lo saque de raíz. Por suerte fue inofensivo en mi Windows XP.

De todos modos lo subí a Virus Total y estos son los resultados:

http://www.virustotal.com/file-scan/report.html?id=91708162c8496e47f0afe8e4b9ec57365dd7037265c8d7c3faf79e9c271406f6-1297368829

Si sirven de algo esta aqui el resultado del MBAM:

Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org

Versión de la Base de Datos: 7809

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27/09/2011 02:05:50 p.m.
mbam-log-2011-09-27 (14-05-50).txt

Tipos de Análisis: Análisis Completo (C:|)
Objetos examinados: 182668
Tiempo transcurrido: 57 minuto(s), 27 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{52D0E803-VXW1-U607-Q1Y3-780I33BN6LE4} (Backdoor.Agent) → Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID{52D0E803-VXW1-U607-Q1Y3-780I33BN6LE4} (Backdoor.Agent) → Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Backdoor.Agent) → Value: HKLM → Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.Agent) → Value: Policies → Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.Agent) → Value: HKCU → Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.Agent) → Value: Policies → Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
c:\install\server.exe (Backdoor.Agent) → Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1957994488-1390067357-1547161642-500\Dc99.exe (Backdoor.Agent) → Quarantined and deleted successfully.
c:\system volume information_restore{6bd73f65-2f1f-4b0d-8f31-64504602cf64}\RP56\A0010301.exe (PUP.Hacktool.Patcher) → Quarantined and deleted successfully.

Creo que ese era un punto dedil es ese magnifico antivirus.

Saludos

LOR PAL

Gracias por la informacion. Si todavia tienes el patch O el archivo infectado puedes comprimirlo ( ZIP o RAR ). Ponerle un codigo (Password). Nombrarlo como VIRUS NOT DETECTED BY AVAST y enviarlo con su codigo a virus@avast.com para analisis y futura deteccion.

Si sabes ingles te aconsejo que abras un topico en el foro de Viruses & Worms aqui en Avast para que Essexboy le eche un vistaso mas profundo a tu sistema y estar seguro que MBAM te saco todo ese BACKDOOR.

http://forum.avast.com/index.php?board=4.0

Gracias de nuevo.

PS: Viendolo bien. Digo yo. ¿ Ese patche es para crackear un programa ? Muchas veces los programas de seguridad valoran patches, keygen, y otros como troyanos o backdoor agents sin verdaderamente estar infectados.

Hola Lor Pal, te comento:

Ningún antivirus es efectivo al 100% contra todas las amenazas, sería imposible ya que diariamente aparecen en la red miles de virus nuevos, millones si sumamos todos los tipos de malwares y sus variantes que existen!..

Debes cuidar mucho los archivos que descargas de internet, sobre todo si son cracks o patches para juegos ó programas ya que suelen venir con “regalitos sorpresa” incorporados y para nada deseados. Los ciberdelincuentes que programan virus, hoy en día, no buscan “romper un sistema” ni “molestar al usuario” sino sacar un beneficio económico, bien sea robando contraseñas bancarias, nombres de usuario y contraseñas de redes sociales, banca online, servicios de correo, etc, para luego, extorsionar y/o coaccionar a los propietarios de esos datos con hacer pública o vender sus datos y/o archivos personales si no les pagan una cantidad de dinero… Como ves no es ninguna tontería aunque muchos se toman la seguridad informática como tal cosa y luego pasa lo que pasa…

El archivo que subiste a virustotal.com es normal que muchos antivirus no lo detecten como una amenaza, más que nada porque el archivo en si, NO es un virus, sino un “dropper”. Este tipo de malware es una detección “genérica” y son ficheros en “apariencia” inofensivos que normalmente se ocultan bajo “crack o patches” de juegos y programas y lo que hacen, aparte de desproteger juegos y programas para poder usarlos como si fueran versiones completas y con sus licencias respectivas, es “descargar” gran variedad de malware en tu ordenador y eso, si que son auténticas amenazas que pueden ir desde un simple gusano de red a el más peligroso backdoor ó troyano de puerta trasera.

Por eso siempre es MUY RECOMENDABLE disponer además de un antivirus de un buen cortafuegos. AVAST IS dispone de uno muy bueno y silencioso. Si no, también hay muchos gratuitos en la red y te puedo recomendar alguno si quieres.

En cuando a los “droppers”, la técnica utilizada por los ciberdelincuentes para engañar a los incautos usuarios es similar en la mayoría de los casos a la siguiente:

Tu te descargas el fichero que “supuestamente” va a permitirte usar un programa ó juego de pc pirata como si de uno original se tratase y es que eso es lo que prometen y realmente es una de las cosas que hace el crack para que no desconfíes pero a la vez, realiza otras acciones y tu antivirus lo que analiza es el CRACK o PATCH que te descargaste buscando virus y demás malware y muy a tu sorpresa, no encuentra nada lo cual es lógico ya que no es un virus! Te sorprendería la cantidad de muestras de malware que he probado en máquinas virtuales y que ni AVAST ni los más galardonados antivirus de pago tipo Norton, Kaspersky, etc, tampoco se han enterado ni han detectado nada… Por eso te recalco que es imposible que un antivirus detecte todas las amenazas. Lo mejor que puedes hacer cuando tienes un virus o archivo sospechoso es enviarlo como bien te indicó iroc9555 al laboratorio de muestras para que si se trata de una amenaza, sea detectada en futuras actualizaciones de las bases de firmas del antivirus y así también colaboras en proteger a los demás usuarios.

El dropper simplemente es un programita que “descarga el virus” de un ftp público (servidor de archivos) sin tu consentimiento ni conocimiento y normalmente añade una clave a tu registro de windows para hacer que esos “pequeños bichitos que descarga” se autoinicien con el arranque del ordenador, asegurándose así que tu equipo sea accesible y/o controlable remotamente desde el momento en que inicias windows. Si a todas estas acciones le sumamos que esas muestras de malware que se descarga normalmente son nuevas ó de muy reciente creación, tu antivirus tampoco los detectará y el resultado será un sistema totalmente vulnerable y controlable al antojo por el ciberdelincuente.

Soy informático y programador de profesión desde hace más de 15 años y si quieres un consejo, desconfía al 100% de todo lo que sea “GRATIS” o que prometa desproteger juegos y programas para usarlos sin licencias originales. No digo que todos los cracks y patchs sean malware eh? xD Hay muchísima gente que se dedica exclusivamente a programar cracks y patches por diversión o por colaborar con determinados foros y portales de descargas y no tienen malas intenciones pero yo ante la duda, no descargo.

Si quieres probar algún fichero “sospechoso” súbelo siempre a virustotal.com ó utiliza algún programa para ejecutar archivos en una sand box. Avast en su versión PRO e IS incluyen un modo seguro (SANDBOXED) que te permite ejecutar archivos en un entorno aislado (sandbox)del sistema operativo y que aunque se trate de un malware no podrá salir de ese aislamiento y por lo tanto no afectará a tu sistema ni lo infectará. Avast free también lo incorpora pero de forma automática lo cual está muy bien y es un “obstáculo” más para el malware pero no es insalvable…

Existen también alternativas gratuitas como el sandboxie (está en google xD).

Y una última cosa, como leí una vez en un foro a un forero… el mejor antivirus es aquel que se sienta entre el teclado y la pantalla, así que a hacer uso del sentido común y a estar alertas!

Lo que te comentó iroc9555 está perfecto y deberías seguir sus indicaciones para tener la seguridad de que no te queda ningún resto de malware en tu sistema.

Espero haberte servido de ayuda y si no, al menos lo intenté! ;D

Un saludo!

Populos bienvenido seas.

Muy buena tu explicacion. Gracias.

O " el mejor antivirus es el que tienes entre tus dos orejas. Usalo ".

Saludos.

Si es un patch para un programa, no me enorgullece la piratería pero hay cierto programas que sin indispensable.

Por desgracia no puede enviar el virus ya que hotmail y yahoo me lo detecta como virus y gmail dice que no permite ejecutable.

De todos modos este es el archivo:

http://www.4shared.com/get/aWqNYFY1/TuneUp_Utilities_2011_patch.html;jsessionid=307D3735F352C8B36BE3379C598AA927.dc322

Disculpen las molestias.

Saludos.

Hola de nuevo LOR PAL, es normal que no puedas enviar el malware por correo ya que los mismos servidores de correo incorporan antivirus. Lo que tienes que hacer es comprimirlo en un ZIP ó en un RAR y ponerle una contraseña al archivo , por ejemplo “virus” y así si te lo dejará enviar. Indica en el email que se trata de un malware y cuál es tu contraseña y asunto resuelto!

Un saludo!

Hola iroc9555 y muchas gracias

“El mejor antivirus es el que tienes entre tus orejas” Me gusta, anotado! ;D

Un saludo.

@ LOR PAL

Por favor modifica el enlaze al patch para hacerlo inactivo, cambia http por hXXp, no vaya un miembro del foro descargarlo inadvertidamente e infectarse.

Sigue las instrucciones que nuevamente te dio Populous para mandar el archivo.

Gracias nuevamente.

@Populous

De nada un placer.

AÑADIDO: Gracias LOR PAL por postearlo en el Foro de Viruses & Worms:

http://forum.avast.com/index.php?topic=85847.msg694264#msg694264

Eddy te da las mismas intrucciones que Populous y yo te dimos de como mandarlo a Avast. De todas forma, conociendo a Polonus, el va a jugar un rato con ese bicho y despues puede que postee algo al respecto.

Hice lo que me dijeron, le puse una contraseña al .ZIP y lo pude enviar por hotmail ;D

Gracias a todos. Saludos.

LOR PAL.

No, gracias a ti por el aviso y contribuir para que Avast sea mas seguro.

Saludos.

Me alegro que se haya resuelto el problema.

Un saludo!

Hola a todos, escribo para advertirles de un conjunto de malware peligroso que lastimosamente aun no estan clasificados como tales.

Se trata de kuiipe.exe este malware se transmite al igual que el famoso winlogon (download generator)crea una carpeta en archivos de Programa llamada LP, desde el satura la memoria ram con dos procesos. Ademas de unos 7 archivos, incliudo el famoso 13a0ea84.exe (recycler), que siempre se estan ejecutando desde el disco C ojo desde el C:\ mismos que en conjunto van ocultando todos tus archivos y mostrandote iconos con punto exe, con el mismo nombre de tu informacion que te redirigen a la ejecutar kuiipe.exe . Quiza hasta aqui no les parezca de cuidado, pero si muta con el malware DriverGuide (carpeta que siempre esta oculta y no es posible eliminarla manualmente)cifrara tus archivos a simbolos irrecuperables, con lo que adios informacion.

perdon por no dejarles los archivos, porque me los tope en una compu de mi amigo, a la que tube que formatear, pero como veran sus nombres y lo que hacen no los he olvidado.

Saludos. Daniel

Daniel bienvenido al foro.

Una lastima que no tengas el archivo. La proxima ves abre un " new Topic " para que tu informacion quede al tope del foro y como un topico tuyo. Tambien puedes mandar el/los archivos infectados a Avast por el baul de cuarentena para que salgan en la proxima actualizacion de la base de datos de Avast y asi todos estaremos protejidos. Como sabras los malwares estan constantemente cambiando y sus variantes son las que infectan los ordenadores porque los AV no tienen como mantenerse a la misma velocidad con esos cambios, es trabajo de nosotros de mantener alertas a nuestro AV favorito de cualquier malware que podamos encontrar.

Gracias.