Va sobre el virus de la policia...

Atomks

#70 codigo maquina ceros y unos
si... soy capaz de pasar de binario a hexadecimal y a asi directamente en mi mente

amarillo5

a mi me entró en el del curro, curiosamente hacia unos dias le habia entrado a un compañero, estando en una intranet, con servidor y demàs, me mosqueó bastante...

B

De todos mis clientes que han pasado por él, ninguno me ha sabido decir cómo lo puede haber pillado. ¿Alguno por aquí que lo haya pillado de primera mano y que sepa cómo se lo colaron?

PS: He oído por ahí que puede ser una vulnerabilidad de java pero no se... alguien puede confirmarlo?

raulmevi2

yo te "confirmo" que es por java, y el propio escudo de red del avast free lo bloquea

aparte esta el programa winlockless de hispasec (gratis) que bloquea inicio etc para que no se pueda alojar nada de estas mierdas

anda que no nos ha dado trabajo a los tecnicos este virus

B

Hoy curiosamente tuve a un cliente con este problema.

Nada que el combofix no pueda solucionar xD

1 1 respuesta
3 meses después
LechuJa

#95 ¿Y cómo conseguiste ejecutarlo? Mi novia tiene ese virus y es jodido no, lo siguiente.

No le deja entrar en modo seguro, y cuando ha conseguido entrar al escritorio por la vía normal (apretando muchas teclas y cancelando a la hora de apagar) no le dejaba abrir ningún programa.

Mañana comprará CD's virgenes y se intentará por medio de "modo seguridad con símbolo de sistema" (ocomosediga) y metiendo el polifix o el karpesky rescue dix, ¿crees que funcionará?

1 3 respuestas
B

#96 ¿con el Hirens habéis probado? http://www.hirensbootcd.org/download/ quemáis la imagen y gg

S

La de ordenadores que han venido a donde curro yo con este virus. El virus este cada vez es más chungo de borrar por lo que veo pero, va mutando xDD

#96 Una manera muy rápida de fixearlo, es de que si es de estos que tardan un ratito en salir, si ejecutas msconfig, vas a Inicio y quitas todas las cosas rápidas y aplicas, lo arreglas, luego pasas el malwarebytes y gl.

Pero esto solo funciona, si es de estos que tardan 30-40 segundos en ejecutarse.

1 respuesta
B

#98 que coño es el msconfig ese? Como una bomba de achique de los barcos que impide que se vaya a pique? XD

1 respuesta
S

#99 Vas a Inicio. Escribes msconfig. Pulsas Enter. Vas a la pestaña de Inicio. Y deshabilitas del Inicio de Windows toda la mierda, Aplicas, aceptas y ya todo lo que hayas marcado no se iniciará cuando se inicié windows xD No tiene más.

1 respuesta
Gusilu

#100 Deshabilito todo?

1 respuesta
S

#101 Recuerda que es la pestaña de "Inicio de Windows"

Deshabilita todas las cosas que no sepan lo que es, por ponerte un ejemplo

Si pone Skype. Pues da igual. Pero si te pone por poner un ejemplo "ANIWZCS2S" y del fabricante "Desconocido" o algo así raro que no sepas lo que es, pues deshabilitado.

1 respuesta
Gusilu

#102 Vale, ahí está el problema, que no hay ningún 'nombre raro' ni fabricante desconocido que pueda ser sospechoso :/. Pasa algo si deshabilito todo?

En todo caso, que hay que hacer después de deshabilitar eso? No saldrá más el maldito virus o me dejará de una vez por todas descargarme un antivirus y eliminarlo?

1 respuesta
S

#103 Pues deshabilita todo, no pasa nada, pero la pestaña de Servicios ni tocarla. Si va bien ( Hay varios tipos de este virus, en algunos no funciona ) reiniciaras y ya no te saldrá. Luego te puedes bajar desde aquí:

http://www.infospyware.com/antispyware/malwarebytes-antimalware/

Analisis Rápido y GG Virus.

Se puede hacer en modo normal, aunque yo lo suelo hacer en modo a prueba de fallo, (Spam F8 antes de que cargue windows )

Es más, hay algunos virus que en modo aprueba de fallos, ni te sale el virus, y puedes instalar el malware y quitarlo y listo.

1 1 respuesta
Gusilu

.

1 respuesta
S

#105 Si no te funciona, lo próximo haría de usar el Avire Live CD Disk y tal, pero a mi nunca me ha ido muy bien, en donde curro, yo los arreglo así y en 20 min los tengo siempre desinfectados.

Suerte!

1
TheDamien

Pues yo tuve que formatear entero el pc por que el puto virus no se iba ni con el combofix FFFUUU me aparecia: "Error al ejecutar" ... que puta pesadilla.

vinilester

Pero aun sigue el virus este dando por culo?

Si a los creadores y estafadores ya los trincaron. Se supone que a fecha de hoy no tendria razon de existir y que la distribucion se habia paralizado.

Deben de ser los ultimos supervivientes en webs de mala muerte.

PD: creo recordad que entraban mediante Java. Se supone que teniendolo actualizado y ya que en teoria el virus ha parado de mutar, no deberia infectarse nadie.

1 respuesta
Angelixion

http://www.infospyware.com/antimalware/polifix/

Añadir, que si no te deja a prueba de errores, si te deja a prueba de errores con simbolo del sistema.

APOCa

Ultimamente aparecio mutado como el anti-child porn spam, virus que se cuela en servidores con windows 2003 y ts abierto a la wan por el puerto por defecto.

+info
http://foros.inteco.es/seguridad/posts/list/67644.page

NitramXDX

Entra por java, si lo mantienes actualizado no tendras problema con esta mierda.
Para quitarlo modo seguro con simbolo de sistema y ComboFix desde un lapiz y fin.
En las practicas que estoy haciendo llegan de esos cada poco, la parte buena es que como les bloquea el pc y no les da tiempo a borrar nada encuentras el porno de easy.

3 respuestas
B

#108 #111 Tengo un cliente que usa java para poder hacer la declaración de la renta con el programa padre y siempre lo tiene actualizado (es especialmente cuidadoso con ese tema, porque no es la primera vez que le pasa y yo le advertí de esa vulnerabilidad). Aun así lo volvió a pillar tiempo después. Y se que estaba actualizado porque al restaurar el equipo a un punto anterior en el que no tenía infección, java estaba actualizado.

#96 A mi el último con el que me encontré tampoco me dejaba entrar correctamente en modo seguro; entraba y a los pocos segundos me echaba. Ni tan siquiera me daba tiempo a ejecutar el msconfig. Pero tuve suerte y existían puntos de restauración previos a la infección, así que entrando en el modo de reparación y cargando un punto de restauración se solucionó.

En caso de no tener esa posibilidad, desde el modo de reparación podrías abrir el modo consola y habilitar la cuenta de administrador, que probablemente esté limpia. Otra opción sería pasar un antivirus desde un liveCD/DVD o intentar montar el registro de ese windows como Hive en el MiniXP del Hiren's Boot y editar las entradas de inicio del msconfig desde ahí.

PS: Algunas de estas opciones solo son válidas para Windows 7. Si necesitas ayuda con el tema mándame un mp.

1 respuesta
sacker

#111 mp con fotos interesantes naow!!!!

NitramXDX

#112 En el caso de que no puedas entrar en modo seguro, nosotros utilizamos un docking en otro pc, pero no es algo que tengan los usuarios normales.
De todas formas me imagino que habrá algun programa desde el que puedas bootear en un disco o lapiz para pasarle algo al HDD.

1 respuesta
B

#114 No te hace falta siempre y cuando tengas un liveCD con herramientas para ese propósito, como Hiren's Boot o un linux mismamente.

yeOprz

No recuerdo experiencia mas desagradable desde los tiempos de 2girls1cup, cuando despues de estar 3 minutos dandole al turron, sudando como un cerdo intentando llevar el ritmo ciclico de tremendo LARGOmetraje, contemplar con sopor una ventana con la bandera española y el logo de la policia acusandote de pajero creyendo que un oficial con la indumentaria de policia estaria ahi, observandome a traves de la webcam para identificar al culpable de tan atroz hecho, un muchacho, semilevantado con unos calzoncillos ligeramente bajados que poco bueno dicen de el apuntando con mi arma cuan ladron de tercera se te presenta y en mi otra mano agarrando un clinex, la prueba del delito. JAMAS PASE TANTA VERGUENZA PENSANDO QUE ERA REAL ESE AVISO y LA MALA LECHE QUE ME ENTRO DESPUES DE CORTARME EL ROLLO.

Nucklear

#111 El que esté java actualizado o no es irrelevante, java lleva un ritmo de 0Days increíble y Oracle no lo gestiona demasiado bien, por lo que los cabecillas de este virus solo tienen que hacerse con un Exploit Kit como Black Hole y éste ya se encarga de explotar cualquier vulnerabilidad en el navegador de la víctima aprovechando cualquier 0Day que pone a disposición de los clientes la empresa que lo vende.

Lo mas recomendable es tener java desactivado y en el mejor de los casos ni instalarlo salvo que sea de extrema necesidad.

1
Apo_powa

Yo a raíz de ver el código máquina en ruso, creé una interface en Visual Basic para localizar su IP.

On-topic: no conozco a nadie que le haya pasado de mi entorno...