Jump to content
Reiterstahl+

"iexplore.exe" Rootkid???

Recommended Posts

Mi ordenador, aún sin ejecutar iExplorer presenta el siguiente mensaje, qué recomiendan hacer? Añadir a sitios de confianza?

 

No sé, gracias.

 

R+

post-34488-1172800361.jpg

Share this post


Link to post
Mi ordenador, aún sin ejecutar iExplorer presenta el siguiente mensaje, qué recomiendan hacer? Añadir a sitios de confianza?

 

No sé, gracias.

 

R+

Si solo analizas ese fichero te da el aviso?

 

Comprime el fichero y mandalo a virustotal.com a ve qué dicen.

Saludos

Share this post


Link to post
Si solo analizas ese fichero te da el aviso?

 

Comprime el fichero y mandalo a virustotal.com a ve qué dicen.

Saludos

 

Hablando de comprimir archivos para enviar ... he encontrado por ahí en Internet creo que fue en una Web de Torrent, un archivo que bajo el nombre de un supuesto generador de claves para los productos Kaspersky, en realidad tiene pinta de ser un virus como una catedral ... lo llamé en una ordenador controlado, en el cual no trabajo y le pasé tanto el KIS 6 (última beta actualmente 675) y el NOD32 2.70.31 y ambos, se lo tragaron doblado :)

 

Pues este archivo (supuesto generador) creó un servicio llamado alternativo FireFox.exe, que en realidad almacenado es crss.exe y que pretende hacerse pasar por uno de los de Windows. Aunque lo sacabas de los procesos manualmente él volvía al momento a meterse en memoria. Sospeché de él porque cuando llamaba al FireFox, había 2 procesos llamados igual, y esto era muy muy muy raro :).

 

Cuando me dí cuenta del asunto, descubrí la existencia del crss.exe y lo he podido borrar a mano, al bloquearlo con el KIS y la PDM y no dejarlo que entre en memoria.

 

He subido el archivo a VirusTotal y varios programas lo detectan, unos como backdoor o trojan, otros como sospechoso. Pero nuestro KAV/KIS ni lo huele, así que me gustaría saber el procedimiento para subir este archivo a los KLab, no es muy grande, ocupa unos 1200 KB aprox.

 

Gracias.

Edited by harlan4096

Share this post


Link to post
suelen ser rapidos. Horas.

Saludos

 

Mucha razón tienes, me acaban de contestar, os remito la contestación:

 

---------------

 

Hello.

 

New malicious software was found in the attached file.

Backdoor.Win32.Bifrose.aek

It's detection will be included in the next update. Thank you for your help.

-----------------

Regards, Roman Gavrilchenko

Virus Analyst, Kaspersky Lab.

 

Ph.: +7(495) 797-8700

E-mail: newvirus@kaspersky.com

http://www.kaspersky.com http://www.viruslist.com

 

---------------

 

Así que, por lo que parece efectivamente era una nueva variación de virus y aún no estaba catalogado :o^_^:lol::D

 

Saludos.

Share this post


Link to post

Dicho y hecho!.

 

Ya he comprobado como al ir a acceder a la carpeta donde tenía guardado el archivo en cuestión, no ha hecho falta ni que le dé a escanear ... el KIS me ha dado la alerta automáticamente y lo ha borrado cagando leches (con perdón) :D

 

Larga vida al KIS y a los KLab! :lol:

 

Pero ahora espero con impaciencia el módulo de detección heurística, pues este archivo en algunos antivirus a través de la Web VirusTotal, lo han detectado a la primera, o al menos su comportamiento sospechoso, gracias a esta tecnología :)

 

Saludos.

Share this post


Link to post
Dicho y hecho!.

 

Ya he comprobado como al ir a acceder a la carpeta donde tenía guardado el archivo en cuestión, no ha hecho falta ni que le dé a escanear ... el KIS me ha dado la alerta automáticamente y lo ha borrado cagando leches (con perdón) :D

 

Larga vida al KIS y a los KLab!  :lol:

 

Pero ahora espero con impaciencia el módulo de detección heurística, pues este archivo en algunos antivirus a través de la Web VirusTotal, lo han detectado a la primera, o al menos su comportamiento sospechoso, gracias a esta tecnología :)

 

Saludos.

Hola que tal, esta bien era nuevo virus y kav/kis no lo detectaba, pero... por curiosidad lo detecto la defensa proactiva???(ya que es su deber cumplir esa funcion cuando sale un virus nuevo)

Saludos ^_^

Share this post


Link to post
Hola que tal, esta bien era nuevo virus y kav/kis no lo detectaba, pero... por curiosidad lo detecto la defensa proactiva???(ya que es su deber cumplir esa funcion cuando sale un virus nuevo)

Saludos  ^_^

 

No, creo que esta vez ni siquiera la PD pudo con él ... pero si me serví de ella para a continuación, una vez detectado el problema sacar de memoria el proceso y cuando volvíó a entrar en memoria ahí fue cuando lo bloqueé :D

 

Supongo que la PD tampoco es infalible dependiendo del comportamiento del virus ... por eso es cada vez más necesario una detección heurística que complemente todos las magníficas barreras de protección que ahora ofrece KAV/KIS.

 

Saludos.

Edited by harlan4096

Share this post


Link to post
No, creo que esta vez ni siquiera la PD pudo con él ... pero si me serví de ella para a continuación, una vez detectado el problema sacar de memoria el proceso y cuando volvíó a entrar en memoria ahí fue cuando lo bloqueé :D

 

Supongo que la PD tampoco es infalible dependiendo del comportamiento del virus ... por eso es cada vez más necesario una detección heurística que complemente todos las magníficas barreras de protección que ahora ofrece KAV/KIS.

 

Saludos.

Hola que tal, realmente es cierto lo que dices, de paso ahora que analizo bien el problema... la PD no lo detecto debido a que el "backdoor" estab en modo pasivo, es decir que solo estaba alli sin nada que hacer, hasta el momento que fue programado para actuar, luego estoy seguro que si el backdoor se activase la defensa proactiva lo detectaria y lo reconoceria como un archivo mailicioso.

Tengamos en cuenta que aun asi este virus paso la heuristica y la defensa proactiva sin ser detectado.

Realmente es una pequeña decepcion que pase eso, pero... a finales de este año veran que esto no sucedera mas, y tambien habra lo que muchos han soñado que KAV/KIS tuviera.

Saludos ^_^

Share this post


Link to post
No, creo que esta vez ni siquiera la PD pudo con él ... pero si me serví de ella para a continuación, una vez detectado el problema sacar de memoria el proceso y cuando volvíó a entrar en memoria ahí fue cuando lo bloqueé :D

 

Supongo que la PD tampoco es infalible dependiendo del comportamiento del virus ... por eso es cada vez más necesario una detección heurística que complemente todos las magníficas barreras de protección que ahora ofrece KAV/KIS.

 

Saludos.

Hola que tal, realmente es cierto lo que dices, de paso ahora que analizo bien el problema... la PD no lo detecto debido a que el "backdoor" estab en modo pasivo, es decir que solo estaba alli sin nada que hacer, hasta el momento que fue programado para actuar, luego estoy seguro que si el backdoor se activase la defensa proactiva lo detectaria y lo reconoceria como un archivo mailicioso.

Tengamos en cuenta que aun asi este virus paso la heuristica y la defensa proactiva sin ser detectado.

Realmente es una pequeña decepcion que pase eso, pero... a finales de este año veran que esto no sucedera mas, y tambien habra lo que muchos han soñado que KAV/KIS tuviera.

Saludos ^_^

Share this post


Link to post

una duda.. si no lo tienen catalogado.. que pruebas hacen a lo que les mandas¿?

y como saben que nombre darle? :P

me refiero.. para ver si es una variación o no de otro. supongo que buscan un patron o una firma para añadirlo a la bases¿?

Share this post


Link to post
Si solo analizas ese fichero te da el aviso?

 

Comprime el fichero y mandalo a virustotal.com a ve qué dicen.

Saludos

 

El fichero está limpio por completo. Añadí iexplore.exe a sitios de confianza; pero igual, no creo que el problema sea del archivo en cuestión; por lo visto, al menos eso creo, debe ser otra aplicación que llama a iexplore.exe y trata de activarlo en segundo plano, por eso detecta el rootkid, no sé...

 

R+

Share this post


Link to post
El fichero está limpio por completo. Añadí iexplore.exe a sitios de confianza; pero igual, no creo que el problema sea del archivo en cuestión; por lo visto, al menos eso creo, debe ser otra aplicación que llama a iexplore.exe y trata de activarlo en segundo plano, por eso detecta el rootkid, no sé...

 

R+

Tienes alguna otra aplicacion de seguridad?. Algun antiespias, o windows defender o similar

Saludos

Share this post


Link to post
Tienes alguna otra aplicacion de seguridad?. Algun antiespias, o windows defender o similar

Saludos

 

No, dependo cien por ciento de KAV 6.0.0.303. Instalé hace poco la versión inglesa más actualizada de KAV, pero el problema se mantuvo.

Debería acaso recurrir al KIS?

 

R+

Share this post


Link to post
No, dependo cien por ciento de KAV 6.0.0.303. Instalé hace poco la versión inglesa más actualizada de KAV, pero el problema se mantuvo.

Debería acaso recurrir al KIS?

 

R+

 

Primero prueba a desinsalar con el desintalador en modo seguro

 

http://forum.kaspersky.com/index.php?act=A...e=post&id=22796

No guardes la configuracion e instala la version 614

Share this post


Link to post
Ya instalé la versión más actualizada de KAV; sin embargo, el proceso sigue ejecutándose (bueno, al menos lo intenta)

 

Mi solución temporal fue esta:

(ver imagen)

 

R+

¿puedes poner aqui los programas que se cargan al inicio?

inico ejecutar msconfig, pestaña inicio.

saludos

Share this post


Link to post
¿puedes poner aqui los programas que se cargan al inicio?

inico ejecutar msconfig, pestaña inicio.

saludos

 

Desde luego que si, mi primera opción fue la de revisar la Utilidad de configuración del sistema. El inicio es limpio, y sólo ejecuto las tareas que considero importantes para mi.

Le suministro una captura de imágen.

 

post-34488-1173064918.gif

 

Lo que sucede es que el "problema" ha tomado nuevas variantes, y en apariencia todos los procesos son normales y de sistema, por favor, si puede revisar otra captura de pantalla:

 

post-34488-1173064930.gif

 

Gracias

 

R+

Share this post


Link to post

Mis muy estimables amigos, he llegado finalmente a meollo del asunto, como habría de ser bien conocido en la jerga. Podría tratar de explicarlo con palabras, pero he de considerar que las imagenes habrán de ser más elocuentes.

 

Un único comentario:

KAV no lo detectó, pero sí supo repeler la ejecución del Rootkit. Ya ubiqué, creo, todos los ficheros contaminados y los eliminé. Espero nuevos comentarios, y desde luego, ARRIBA KAV! Todavía puedes mejorar!

 

R+

 

post-34488-1173066461.gif

Share this post


Link to post

:ph34r:

 

Tenés razón!

 

Vieras lo que sentí cuando analicé detenidamente los resultados... los había visto, pero no le di importancia a ese server.exe... no sé ni por qué... cuando es eso veo eso de bifrost y recuerdo haber leído algo de eso... ni para qué!

 

Voy directo a la carpeta y elimino el archivo. La pregunta es: Fue suficiente con eso?

Veré que más encuentro por ahí...

 

R+

Share this post


Link to post
Mis muy estimables amigos, he llegado finalmente a meollo del asunto, como habría de ser bien conocido en la jerga. Podría tratar de explicarlo con palabras, pero he de considerar que las imagenes habrán de ser más elocuentes.

 

Un único comentario:

KAV no lo detectó, pero sí supo repeler la ejecución del Rootkit. Ya ubiqué, creo, todos los ficheros contaminados y los eliminé. Espero nuevos comentarios, y desde luego, ARRIBA KAV! Todavía puedes mejorar!

 

R+

 

post-34488-1173066461.gif

 

Los hubieras mandado a newvirus@kaspersky.com , si tienes alguna forma de recuperar los archivos podrías mandarlos en un archivo comprimido y con contraseña para que los especialistas de kaspersky lo analizaran, si en un futuro tienes un problema similar no dudes en mandarlos a esa dirección de correo y ayudar a los KL. ;)

Edited by dah145

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.