Virus W32/Sality!mem y software cledx.exe de H2O

Bueno, posteo esto por si alguien se ha encontrado en el mismo problema a ver si entre todos podemos sacar alguna conclusion.

Ayer mismo me salto un mensaje de McAfee avisandome de que tenia el virus W32/Sality!mem en winlogon.exe. Buscando todo tipo de informacion leia cosas sobre sus caracteristicas y sintomas, los cuales no se daban en mi ordenador, vi que este virus se detecto el dia 15/09/2008, vamos hace muy poo.

Despues de pasarame horas y horas mirando, buscando e informandome de como quitarlo, empeze a matar tareas de mi ordenador (todas las que habia las conocia) para ver si podia sacar alguna conclusion.

Al final mate la tarea cledx.exe , esta tarea la utilizo desde hace mucho tiempo y forma parte de una aplicacion de licencias para programas de edicion de sonido, es una aplicacion de un grupo llamado H2O. Al matar esta tarea ya no me detectaba el virus.

Asi que la causa de la detección de este virus creo que puede ser porque alguna de las cadenas de informacion que usan los antivirus para detectarlo coincide exactamente con la de esa aplicacion.

Me gustaria que si alguno de vosotros tiene el mismo problema, que mire si es por lo mismo y podamos sacar algo en claro.

Aqui dejo info del virus y los sintomas que en mi caso no se daban.

PD: Me he instalado un programa para ver el trafico en la red y no detecta ningun tipo de conexion fuera de lo normal.

Overview -

This is a heuristic detection of code hooks created by a package called W32/Sality. W32/Sality is a parasitic virus that infects Win32 PE executable files. It utilizes DLL injection and contains downloader functionality to further install trojan or keylogger components. This detection will only be triggered by VirusScan when a process in memory is found to be injected with a dll identified as W32/Sality. Most variants of W32/Sality seem to use a the dll named wcdrtc32.dll.

Characteristics

Variants of W32/Sality have also been know to:

Creates the following mutexes to ensure that only one instance of the virus is active on a computer at any time.

_kuku_joker_v3.10 pendosi-zaberu-vse-vashi-babki-v3.01Injects its component "wcdrtc32.dll" into running processes on the system.

Checks for the presence of an internet connection by performing a DNS query to the following domain.

microsoft.com Downloads further malware from the following domains:

www.bpfq02.com www.shared-admin.com

Symptoms -

Existing Windows PE executable files grow in length.

Unexpected network traffic to one or more of the following domains:

f5ds1jkkk4d.info
g1ikdcvns3sdsal.info
h7smcnrwlsdn34fgv.info
inform1ongung.info
kukutrustnet.org
lukki6nd2kdnc.info

Method of Infection

W32/Sality is a parasitic virus that searches local drives and network shares for Windows PE executable files to infect. It replaces the original entry point of the host executable with its viral code and appends an encrypted copy of the itself by creating a new section named 'srdata'.

info del virus: http://vil.nai.com/vil/content/v_150219.htm