Otro Virus del MSN Messenger REC0023.mp3.exe


Ni mencionar que esto me ha tomado por sorpresa, esto porque ni mi querido NOD32 me ha detectado este bicharraco, que por cierto y para variar se transmite por MSN Messenger, asi es que cuidado!!

El siguiente es un articulo que ha publicado Mixel en su sitio Mixelandia.com, donde nos da a conocer una nueva versión de un virus que se propaga por el ya famoso (no tanto por sus funcionalidades, sino por el constante foco de contagio de muchos usuarios) MSN Messenger. Hablamos de una versión de virus que por lo menos mi AV no lo detectó en su momento, pero siguiendo las instrucciones que menciona Mixel + las instrucciones del foro foroSpyware.com, quienes también han ofrecido soluciones para esta plaga, se podrá acabar con dicho virus.

Les invito a leer el articulo siguiendo el link de mas abajo. Suerte!!

“Articulo Original – Otro virus del MSN Messenger de pacotilla”

Pues resulta que pablo, un compa de Argentina me envió un link de un virus, que al checar en virus total me dio 0 de 30 es decir que no lo reconocía ningún antivirus.

Análisis del archivo REC003_mp3.exe recibido el 16.10.2007 19:52:38 (CET)
Estado actual: análisis terminado
Resultado 0/30 (0%)

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.10.13.1 2007.10.12
Authentium 4.93.8 2007.10.16
BitDefender 7.2 2007.10.16
ClamAV 0.91.2 2007.10.14
eSafe 7.0.15.0 2007.10.15
Ewido 4.0 2007.10.16
Fortinet 3.11.0.0 2007.10.16
F-Secure 6.70.13030.0 2007.10.16
Kaspersky 7.0.0.125 2007.10.16
Microsoft 1.2908 2007.10.16
Norman 5.80.02 2007.10.16
Prevx1 V2 2007.10.16
Sophos 4.22.0 2007.10.16
TheHacker 6.2.8.093 2007.10.16
VirusBuster 4.3.26:9 2007.10.16
Información adicional
Tamaño archivo: 754853 bytes
SHA1: 42ad4ed8f9c83ef1c35cc14739cd3e7a201d1b37

Después de jugar un ratito con el virus en la máquina virtual, lo primero que vi es que esta echo en VB, lo cual como ya he dicho no es algo muy bueno para los virus, ya que VB no te da acceso a la memoria, directamente.

El virus se propaga usando un archivo que se encuentra en esta dirección: http://usuarios.lycos.es/svcpage/REC003.mp3.exe

Luego que lo bajas obtienes un archivo de 737KB, que es un Archivo RAR SFX lo cual es muchísimo para un malware, pero bueno sigan usando VB.

Una vez que se ejecuta el archivo crea otros tantos:

C:\WINDOWS\system\MSCOMCTL.OCX
C:\WINDOWS\system\MSWINSCK.OCX
C:\WINDOWS\system\winglogon.exe
C:\WINDOWS\system\bsu.dat
C:\WINDOWS\system\MsnPlus.exe
C:\WINDOWS\system\pack1.exe
C:\Windows\inf\explorer.exe
C:\WINDOWS\inf\infdata.inf

Ninguno de ellos tiene atributos de oculto, solo lectura o sistema. Para eliminarlo, basta con usar process explorer y terminar cualquiera de los procesos que vemos ahí.

Si vemos algun proceso con cualquier nombre, con extensión .tmp, eliminalo también.

Las cadenas internas de dispersión son las siguientes:

holaa
mira que gracioso!..🙂
escuchaa esto!..
jajajaja
no sabes lo que es esto!!.. :d
escuchalo🙂
eii saliste en confizona! miraa..🙂
jajjaja
jaj mira lo q grabe
los otros dias, igual que terminator :d

Espero que no se infecten con este virus chafa…

Saludos
——————————————————–

ForoSpyware también expone su método para quitar de nuestro ordenador dicho virus, método que por cierto combinado con el anterior, me permitió solucionar mi problema.

En lo personal recomiendo para los usuarios de MSN Messenger que deshabiliten la opción que permite vínculos en las ventanas de conversación, (opción Herramientas, Seguridad, deseleccionar “Permitir Vínculos en ventana de conversación”). Con esta simple configuración estamos a salvo para cuando nos empiecen a enviar vínculos no podamos activar dicho vinculo, evitando de paso la ejecución del o los virus.

Saludos a todos y espero que este articulo haya sido de gran ayuda.

16 comentarios en “Otro Virus del MSN Messenger REC0023.mp3.exe

  1. no puedo creerlo, usuario de linux. Casi no uso windows, y el día que lo uso, inocentemente lo abro, quizás producto del sueño. ¡Nunca había caido en algo asi!

    En fin, muchas gracias por la ayuda para borrar el maldito programa

  2. Muchas gracias, se agradece un monton, aunque el virus era una variante bastante jodida xD, resulto bien el programa y la idea de las instrucciones sirvieron mucho, gracias!!!

  3. estoy igual que marcelo, segui las mismas instrucciones, y solo hay un par de procesos que los borro me resetea la pc, y vuelve a lo mismo.

    Pase el ultimo msn cleaner, pase el process explorer y nada…. AYUDA!! por favoor!

    Antes que nada gracias.

  4. Estimado Marcelo y NAcho,
    Primero que nada, agradecido estoy de que hayan dejado su post en mi humilde blog..
    Bueno, con relacion a sus dudas, sepan que primero que todo y antes de empezar a eliminar este virus, deben de detener o eliminar todo proceso que haga alucion al virus, por ejmplo este virus ejecuta varios procesos extraños, entre ellos temp1.exe y otros que no recuerdo en estos momentos.
    Una vez hecho esto, deben de buscar los archivos que fueron mencionados en el articulo y eliminarlos, por lo general están en C:\windows\temp\ o simplemente escriben en el explorador de windows %temp% y le dan a aceptar.
    Luego de eso deben de limpiar el registro de windows para que las instrucciones que ha logrado ingresar al sistema, permitiendole que se ejecute cada vez que reinicies el PC, todo esto puede ser con ayuda de CCleaner, HijackThis u otro software para limpiar historiales del registro, puede serles de mucha utilidad TuneUp Utilities que trae un muy buen limpiador de registros, historiales, temporales, etc.

    Con ello estarían eliminando y terminando con la plaga que les aqueja.

    Espero les haya aclarado sus dudas y sin vuelven a tenerlas, por favor les pido se pongan nuevmente en contacto, espero ahora si, poder responderle dentro del tiempo mas próximo.

    Agradecido de sus post,
    xbash.

  5. me pasa lo mismo qe a nacho
    y marcelo.. y no entendi lo de “deben de detener matar todo procesos que haga alucion al virus en cuestion.” los tengo qe suspender y ahi borrar los archivos qe mencionan arriba de sistem ? mm qe complicado =(

  6. Jorge,
    Te cuento, el procedimiento que tomé yo en las primeras ocasiones fue simplemente mirar los procesos que se ejecutaban al momento de iniciar la sesión, para ello puedes usar la utilidad de msconfig.exe a través de Inicio – ejecutar y ahí debes de escribir msconfig.

    Una vez que logres levantar esta pequeña utilidad, debes de buscar los procesos que se asemejen a los ya mencionados arriba, tales como:
    C:\WINDOWS\system\MSCOMCTL.OCX
    C:\WINDOWS\system\MSWINSCK.OCX
    C:\WINDOWS\system\winglogon.exe
    C:\WINDOWS\system\bsu.dat
    C:\WINDOWS\system\MsnPlus.exe
    C:\WINDOWS\system\pack1.exe
    C:\Windows\inf\explorer.exe
    C:\WINDOWS\inf\infdata.inf
    y luego de ubicarlos debes de deseleccionarlos, para ello pincha en los cuadrados que están al costado izquierdo. Con ello evitaras que se vuelvan a ejecutar, una vez reiniciado el Ordenador, ubica estos archivos y procede a eliminarlos, en el caso que no puedas eliminarlos, mira en el administrador de tareas para verificar si estos se están ejecutando.

    De no tener buenos resultados te pediría que te remitieras a las instrucciones que han dado para en este, la gente de fotospyware.com http://www.forospyware.com/t120463.html

    Suerte y me cuentas.

  7. virus maldito xD cuido mucho mi notebook y no tengo idea como entro, de hecho revise los historiales de conversación y nada, mi mamá metió su pendrive para ver unas fotos que trajo de un viaje que hizo, lo único que se me ocurre es que el pc de donde saco las fotos es el infectado u.u en fin, ahora intentare seguir las instrucciones.. usualmente soy la que más entiendo de computación y esas cosas en mi casa, pero igual esta un poco complicado, ojalá no eche a perder algo xD
    A te quería hacer una consulta nada que ver con el tema, onda de problemas con el dispositivo de wifi, se puede ? :p

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s