miércoles, 26 de septiembre de 2007

Un virus-antispyware particularmente molesto

Primero, un cartel (en inglés, of course) me dice que windows reibió un intento de ataque de internet... es raro, porque la máquina no está conectada.

Al mismo tiempo, un programa (que no es el antivirus) dice que detectó actividad de virus, que aparte es notoria, porque la máquina quiere conectarse a internet a toda costa.

Y de postre dos pseudo-virus: Windows Genuine Advantage y el centro de seguridad.



Con el antivirus deshabilitado, empieza a tirar carteles de virus, casualmente de riesgo máximo, que afectan a windows 2000, NT, ME, XP y Vista. Los usuarios de Windows98, salvados.

(Looksky existe)

Al querer entrar en la página, Firefox se minimiza y me deja un cartel que dice que no deje que mi privacidad y reputación! sean arruinados por los rastros de porno que quedan en la máquina.

"...privacy and reputation..."

Y al final, cuando entramos nos redirecciona e esta otra pagina, que tiene una apreciacion distinta de cual es el problema...
Esta última ya da verguenza. Muchachos... ponganse las pilas con las estafas, que así no llegamos a ningún lado...

"Impossible to continue..." salvo que cierre la pestaña.

PD: Lástima que no tradujeron las advertencias... hubieramos tenido un plus de animaladas para el post.

5 comentarios:

Apuromafo dijo...
Este comentario ha sido eliminado por el autor.
Apuromafo dijo...

Primero que nada interesate el post
con [Photo]
jeje
por lo demas conozco muy bien y he visto en si este trojano

explico mas o menos como funciona o mas o menos lo que hace

entra en regedit se instala y crea un instalador con una "dll"
cosa que si quieres desinstalar sale sin problemas
ahora bien he estado leyendo tu blog y parece interesante..creo que algun dia ordenare como esta web para reirme con cosas que me ocurren en forma similar por manejarme muuy bien en computacion ..siendo aun estudiante de enfermeria y nada que ver con pc..pero es my hobby

la historia es que la dll comienza globalmente con algo como y......dll en windows o system32 ..ya no me acuerdo
las posibles soluciones son varias..
primero un antispyware..para detectar los cambios globales etc..

por lo de windows pirata ya habia visto ello y tambien es posible por cmd..en un bat que cree hace un tiempo como favor a mi amiga..de stgo..
volviendo..


la cosa fue matar esa dll que se estaba llamado por rundll32 o ssimilar que fue invocado y usar una herramienta conocida como svchost que a su vez vino de cmd que vino desde el install del programa..en modo de comando..


como lo supe..?? process explorer y muchas otras utilidades

conozco ingenieria inversa y generalmente no hay trojano que me gane..por eso los desempaco y los envio al antivirus total para que los vean y logren analizarlo mas complejamente..
hay excepciones pocas..pero gracias a dios los de antivirus van mejorando..por lo menos por el momento


volviedooo..aaa..


la historia que tienes en la tool..o icono que te llama la atencion

puedes ir a hihackthis y rapidamente acceder para regedit /? no recuerdo.si estaba o no habilitado

en el mejor de los casos si tienes el trojano enviamelo y te doy toda la info de este programa..

no lo guarde porque se me fue con la emocion

bueno..buscando en google se pilla de todo..
pero de por hecho luego de muerto el proceso y el archivo semilla de regedit
simplemente es un ccleanes y ya se fue..

antiguamente usaba para desinstalar el regcleaner pero por motivos de actualizacion no es la que tengo..obviamente no lo envio por razones de tiempo y ademas es una version antigua..
uff no quiero parecer testamento y se que quizas te complico la historia con lo que te digo..
pero prefiero que tengas una idea antes que alarmar y decir que no hay solucion
ademas las alertas de globo busca en regedit los balloom atom

y ademas las caption o las notificaciones son a la larga subprocesos de explorer.exe
basta matar eso.y comenzar a actuar..
obviamente desde este programa conoci en si los programas molestos ..pero te aseguro que hay peores que he enfrentado y he salido victorioso gracias a la ingenieria inversa y a los conocimientos que se comparten entre uno y otros..
salu2 y cuenta con mi apoyo si es necesario..

[486] dijo...

Lo que sucede con la ingeniería inversa es que lleva tiempo. Como yo lo hago por laburo, me resulta mil veces más seguro y rápido reinstalar. De todos modos gracias, me alegro que te resulte entretenido el blog, que para eso está.

Anónimo dijo...

ALGUIEN QUE ME DIGA LOS PASOS PARA QUITARLO
SE PUEDE ARREGLAR??


QUE NO SEA FORMATEANDO LA MAQUINA

Anónimo dijo...

se puede quitar..debes hacer empeño en antispywares..