 |
|
| Ver tema anterior :: Ver tema siguiente |
| Autor |
Mensaje |
NEO
SE BUSCA
Registrado: 22 Sep 2005
Mensajes: 15730
Ubicación: PERDIDO
|
 Publicado: Lun Abr 16, 2007 9:14 am Asunto: |
 |
|
| Mordred escribió: | | NEO escribió: | | OSTI!!, Q CONSTE Q YO NO SABIA NADA DEL TROYANO ESE, ES MAS ES QUE NI LO CONOZCO AL PERSONAJE EN CUESTION, SIENTO SI ALGUNO SE LE A CASCADO EL ORDENADOR.. |
Neo, me has fallado fallado... sevi tenia el kaspersky  |
EL KASPERSKY ESE DEBE SER FAMILIA DEL TROYANO, PUES MENUDAS FARRAS SE METEN LOS TIOS. .
_________________
  |
|
| Volver arriba |
|
 |
Neoviatan
Integrándose
Registrado: 11 Nov 2006
Mensajes: 385
|
| Publicado: Mar Abr 17, 2007 9:28 am Asunto: |
|
|
| Neoviatan escribió: | ANALISIS DE SVCIPA.EXE.
El video contiene una línea de código que vincula a servidores 209.167.111.110 y/o 216.95.196.22. Al entrar a esos servidores, se carga un script que explota la vulnerabilidad publicada en el boletín de seguridad de Microsoft del 14 de noviembre de 2006:
http://www.microsoft.com/technet/sec.../ms06-071.mspx
Cuando no se tiene la protección descrita en el artículo, se ejecuta código XML que invoca un ejecutable (troyano Zonebac) de nombre svcipa.exe o ulogin125.exe. Ese troyano instala un tercer ejecutable, lsasss.exe, el cual suplanta a todos los archivos listados en la llave de inicio RUN del registro de windows, y se instala él mismo en la llave de inicio, pero no borra los ejecutables, sino que los mueve al directorio "bak". Esto para que cada vez que inicie la máquina, se ejecute el troyano tantas veces como archivos de inicio se tengan en la llave del registro, pero también manda llamar a los procesos originales para aparentar lo más posible que el equipo funciona correctamente. Los archivos svcipa y ulogin125 ya son detectados por la mayoría de los antivirus, pero el lsasss.exe (no es el mismo archivo del gusano sasser) no se detecta como virulento.
La peor parte viene ahora: una vez infectado el ordenador, se ejecuta un dialer que hace llamadas de larga distancia, y cada vez que el usuario quiera conectarse a internet, se ejecuta este dialer y el usuario esta navegando sin darse cuenta, a través de un servicio remoto de larga distancia. El usuario se percata de que ha sido estafado una vez que revisa su recibo telefónico, al ver cargos por llamadas de "servicio de internet" que no supo que realizó. 
SOLUCIÓN PARA INFECTADOS:
Realiza lo siguiente :
En este orden:
1º » Actualiza tu sistema Aqui (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=es)
2º » Borra todas las cookies y el registro con CCleaner (http://www.filehippo.com/download_ccleaner/)
3º » Vete a Inicio- Panel de Control--> Java y elimina todos los archivos temporales. (si usas Java)
4º » Pásale el AVG Antispyware (http://www.ewido.net/en/download/). ( Actualizalo, y al acabar el Scaneo elije la opcion eliminar, despues guarda el report y lo pegas) aqui tienes el manual por si tienes alguna duda Manual de AVG Antipsyware (http://comunidad.wilkinsonpc.com.co/cgi-bin/foros/index.cgi?board=manuales;action=display;num=1172155064)
5º » Pásale también el ElistarA (http://www.zonavirus.com/datos/descargas/78/EliStarA.asp) (No necesita instalación, dile SI a todos Los resultados aparecen en el archivo C:\Infosat.txt, Se descarga al final de la Pagina) Cuando empiece el Scaneo, DESTILDAS la opcion de eliminar, a la izquierda de la ventana del programa.
CONCLUSION:
Parece que alguno se quiere sacar unas perrillas...  |
UN "POQUITO" DE GRACIAS ¿NO?
Si es que no se para que me molesto...... 
_________________
 |
|
| Volver arriba |
|
|
ALRINCON
WebMaster
Registrado: 27 Sep 2004
Mensajes: 14960
|
| Publicado: Mar Abr 17, 2007 9:32 am Asunto: |
|
|
has visto que desagradecido es el mundo!!.... a no ser que te llames bruce willis y destruyas un meteorito,... nada oye!!... menos mal que dentro de 20 o 30 años viene uno y podras demostrar a todos lo equivocados que estaban contigo!!  |
|
| Volver arriba |
|
|
Robin Hood
Su familia lo extraña
Registrado: 08 Feb 2007
Mensajes: 1384
Ubicación: En el bosque de Sherwood
|
| Publicado: Mar Abr 17, 2007 10:23 am Asunto: |
|
|
Gracias Neoviatan... pero mi jefe a decidido tirar el msx y comprar un un spectrum... dice que es más rápido..
_________________
 |
|
| Volver arriba |
|
|
NEO
SE BUSCA
Registrado: 22 Sep 2005
Mensajes: 15730
Ubicación: PERDIDO
|
| Publicado: Mar Abr 17, 2007 10:28 am Asunto: |
|
|
| Robin Hood escribió: | | Gracias Neoviatan... pero mi jefe a decidido tirar el msx y comprar un un spectrum... dice que es más rápido.. |
TU JEFE SI Q SABE. .
_________________
|
|
| Volver arriba |
|
|
Robin Hood
Su familia lo extraña
Registrado: 08 Feb 2007
Mensajes: 1384
Ubicación: En el bosque de Sherwood
|
| Publicado: Mar Abr 17, 2007 10:46 am Asunto: |
|
|
| NEO escribió: | | Robin Hood escribió: | | Gracias Neoviatan... pero mi jefe a decidido tirar el msx y comprar un un spectrum... dice que es más rápido.. |
TU JEFE SI Q SABE. . |
y a mi compañera de curro le ha puesto uno supermoderno el jodido!! , mira, mira:
_________________
|
|
| Volver arriba |
|
|
lunaticcall
SE BUSCA
Registrado: 20 May 2006
Mensajes: 7618
Ubicación: corriendo en pelotas, con el hacha en ristre
|
| Publicado: Mar Abr 17, 2007 11:15 am Asunto: |
|
|
eah yasta... he pasao 5 antivirus on line, tres antimalware y spyware, el karpersky, el nod... he hecho todo lo que has dicho... he eliminao los 5 gigas de temporales, las 672 entradas erroneas del registro. He reiniciao en modo de fallos... desinstalao el pack de elisoft de codecs... me he tomao tres cafes.
he actualizao windows, el firefox, hasta el autocad...
en fin... si se me ha pasao algo me lo dices y me cago en tu puta madre...
NI UN VIRUS TENIAAAAAAAAA
_________________
  |
|
| Volver arriba |
|
|
Robin Hood
Su familia lo extraña
Registrado: 08 Feb 2007
Mensajes: 1384
Ubicación: En el bosque de Sherwood
|
| Publicado: Mar Abr 17, 2007 11:18 am Asunto: |
|
|
| lunaticcall escribió: | eah yasta... he pasao 5 antivirus on line, tres antimalware y spyware, el karpersky, el nod... he hecho todo lo que has dicho... he eliminao los 5 gigas de temporales, las 672 entradas erroneas del registro. He reiniciao en modo de fallos... desinstalao el pack de elisoft de codecs... me he tomao tres cafes.
he actualizao windows, el firefox, hasta el autocad...
en fin... si se me ha pasao algo me lo dices y me cago en tu puta madre...
NI UN VIRUS TENIAAAAAAAAA |
CON DOS COJONES!!!!
_________________
|
|
| Volver arriba |
|
|
lunaticcall
SE BUSCA
Registrado: 20 May 2006
Mensajes: 7618
Ubicación: corriendo en pelotas, con el hacha en ristre
|
| Publicado: Mar Abr 17, 2007 11:20 am Asunto: |
|
|
| Robin Hood escribió: | | lunaticcall escribió: | eah yasta... he pasao 5 antivirus on line, tres antimalware y spyware, el karpersky, el nod... he hecho todo lo que has dicho... he eliminao los 5 gigas de temporales, las 672 entradas erroneas del registro. He reiniciao en modo de fallos... desinstalao el pack de elisoft de codecs... me he tomao tres cafes.
he actualizao windows, el firefox, hasta el autocad...
en fin... si se me ha pasao algo me lo dices y me cago en tu puta madre...
NI UN VIRUS TENIAAAAAAAAA |
CON DOS COJONES!!!! |
lo siento... se levanta uno con el sevillista acostao al lao y se le pone un humor...
_________________
|
|
| Volver arriba |
|
|
ALRINCON
WebMaster
Registrado: 27 Sep 2004
Mensajes: 14960
|
| Publicado: Mar Abr 17, 2007 11:45 am Asunto: |
|
|
| lunaticcall escribió: | eah yasta... he pasao 5 antivirus on line, tres antimalware y spyware, el karpersky, el nod... he hecho todo lo que has dicho... he eliminao los 5 gigas de temporales, las 672 entradas erroneas del registro. He reiniciao en modo de fallos... desinstalao el pack de elisoft de codecs... me he tomao tres cafes.
he actualizao windows, el firefox, hasta el autocad...
en fin... si se me ha pasao algo me lo dices y me cago en tu puta madre...
NI UN VIRUS TENIAAAAAAAAA |
... osea,... todo esto lo has hecho "por si las moscas"???.... por precaucion??... .... tonces, si te digo que al igual tienes termitas en tu cuarto,... ?¿?¿?... |
|
| Volver arriba |
|
|
Gorrion
En Nómina
Registrado: 22 Jul 2006
Mensajes: 3597
Ubicación: Que me traigan una caña aunque sea...
|
|
| Volver arriba |
|
|
lunaticcall
SE BUSCA
Registrado: 20 May 2006
Mensajes: 7618
Ubicación: corriendo en pelotas, con el hacha en ristre
|
| Publicado: Mar Abr 17, 2007 11:47 am Asunto: |
|
|
| ALRINCON escribió: | | lunaticcall escribió: | eah yasta... he pasao 5 antivirus on line, tres antimalware y spyware, el karpersky, el nod... he hecho todo lo que has dicho... he eliminao los 5 gigas de temporales, las 672 entradas erroneas del registro. He reiniciao en modo de fallos... desinstalao el pack de elisoft de codecs... me he tomao tres cafes.
he actualizao windows, el firefox, hasta el autocad...
en fin... si se me ha pasao algo me lo dices y me cago en tu puta madre...
NI UN VIRUS TENIAAAAAAAAA |
... osea,... todo esto lo has hecho "por si las moscas"???.... por precaucion??... .... tonces, si te digo que al igual tienes termitas en tu cuarto,... ?¿?¿?... |
recuerda que estas hablando con alguien que se pone 24 condones uno encima del otro
_________________
|
|
| Volver arriba |
|
|
Eolo
Adoptado
Registrado: 26 Nov 2006
Mensajes: 118
Ubicación: En las playas del Cabo De Gata
|
| Publicado: Mar Abr 17, 2007 10:04 pm Asunto: |
|
|
| Neoviatan escribió: | | Neoviatan escribió: | ANALISIS DE SVCIPA.EXE.
El video contiene una línea de código que vincula a servidores 209.167.111.110 y/o 216.95.196.22. Al entrar a esos servidores, se carga un script que explota la vulnerabilidad publicada en el boletín de seguridad de Microsoft del 14 de noviembre de 2006:
http://www.microsoft.com/technet/sec.../ms06-071.mspx
Cuando no se tiene la protección descrita en el artículo, se ejecuta código XML que invoca un ejecutable (troyano Zonebac) de nombre svcipa.exe o ulogin125.exe. Ese troyano instala un tercer ejecutable, lsasss.exe, el cual suplanta a todos los archivos listados en la llave de inicio RUN del registro de windows, y se instala él mismo en la llave de inicio, pero no borra los ejecutables, sino que los mueve al directorio "bak". Esto para que cada vez que inicie la máquina, se ejecute el troyano tantas veces como archivos de inicio se tengan en la llave del registro, pero también manda llamar a los procesos originales para aparentar lo más posible que el equipo funciona correctamente. Los archivos svcipa y ulogin125 ya son detectados por la mayoría de los antivirus, pero el lsasss.exe (no es el mismo archivo del gusano sasser) no se detecta como virulento.
La peor parte viene ahora: una vez infectado el ordenador, se ejecuta un dialer que hace llamadas de larga distancia, y cada vez que el usuario quiera conectarse a internet, se ejecuta este dialer y el usuario esta navegando sin darse cuenta, a través de un servicio remoto de larga distancia. El usuario se percata de que ha sido estafado una vez que revisa su recibo telefónico, al ver cargos por llamadas de "servicio de internet" que no supo que realizó.
SOLUCIÓN PARA INFECTADOS:
Realiza lo siguiente :
En este orden:
1º » Actualiza tu sistema Aqui (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=es)
2º » Borra todas las cookies y el registro con CCleaner (http://www.filehippo.com/download_ccleaner/)
3º » Vete a Inicio- Panel de Control--> Java y elimina todos los archivos temporales. (si usas Java)
4º » Pásale el AVG Antispyware (http://www.ewido.net/en/download/). ( Actualizalo, y al acabar el Scaneo elije la opcion eliminar, despues guarda el report y lo pegas) aqui tienes el manual por si tienes alguna duda Manual de AVG Antipsyware (http://comunidad.wilkinsonpc.com.co/cgi-bin/foros/index.cgi?board=manuales;action=display;num=1172155064)
5º » Pásale también el ElistarA (http://www.zonavirus.com/datos/descargas/78/EliStarA.asp) (No necesita instalación, dile SI a todos Los resultados aparecen en el archivo C:\Infosat.txt, Se descarga al final de la Pagina) Cuando empiece el Scaneo, DESTILDAS la opcion de eliminar, a la izquierda de la ventana del programa.
CONCLUSION:
Parece que alguno se quiere sacar unas perrillas... |
UN "POQUITO" DE GRACIAS ¿NO?
Si es que no se para que me molesto...... |
Yo tambien te doy las gracias
_________________
 |
|
| Volver arriba |
|
|
NEO
SE BUSCA
Registrado: 22 Sep 2005
Mensajes: 15730
Ubicación: PERDIDO
|
| Publicado: Mie Abr 18, 2007 8:38 am Asunto: |
|
|
DENADA
_________________
|
|
| Volver arriba |
|
|
Robin Hood
Su familia lo extraña
Registrado: 08 Feb 2007
Mensajes: 1384
Ubicación: En el bosque de Sherwood
|
| Publicado: Mie Abr 18, 2007 8:49 am Asunto: |
|
|
NO HAY DE QUE!!!
_________________
|
|
| Volver arriba |
|
|
|
|
Puede publicar nuevos temas en este foro
No puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro
|
Powered by phpBB © 2001, 2005 phpBB Group
|
FAQ
Buscar
Miembros
Grupos de Usuarios
Registrarse
Perfil
Entre para ver sus mensajes privados
Login
