Virus W32.EFECTO.A. Posible Hoax

helena · 21/04/08, 09:05:19

Hola Pablo, buenos días, te paso este mail que me llegó ayer, he estado mirando al respecto, y,como en otros casos que enseguida comprobaba que era un hoax, en este caso, la verdad es que no he visto nada, sé que vosotros sabreis dar una respuesta correcta. Pego por aqui lo que recibí, ok!, muchas gracias!! Espero haberlo hecho bien, o sea dirigirme correctamente, en secreto! soy un pequeño desastre..jejeje, ciaoo
--------------------------------------------------------------
> Antes que Nada, Aclaro que este Post es Informativo sin el afan de Asustar o de promocionar algun Antivirus.. ya que despues de todo es con el Fin de Alertar y de que tengan la mejor proteccion en su Pc, asi como el Cuidado del Mismo.., hace algunos Meses Su Servidor Alerto de un Virus que solo se podia eliminar con en programa llamado Dr.Web.. en este caso es Diferente, ya que el Virus es Muy Peligroso, Dañino y Perjudicial para Nuestra Pc.. Lo Digo Por Experiencia..
>
> Cuidado con este Nuevo Virus….
> Nombre: W32.EFECTO.A y W32.EFECTO.B
> El virus es detectado en Algunos Antivirus con el nombre de: MONTAGUE.
> Se Ejecuta como: Win2x.exe y save.exe
>
> W32.EFECTO.A y W32.EFECTO.B es un ejecutable de tan solo 122,880 bytes compilado con Microsoft Visual Basic 6.0.
> Al Ejecutarse, W32.EFECTO.A y W32.EFECTO.B; se copia en: WindowsSystemWin2x.exe y WindowsSystemsave.exe
>
> Las Acciones que realiza este Virus en Nuestra Pc..
>
> -Crea entradas en el registro para ejecutar Win2x.exe al inicio del sistema y save.exe durante la ejecución de cualquier tarea de impresión.
> -Inhabilita el acceso al Editor de Registro de Windows y al Administrador de Tareas.
> -Impide la ejecución de cajas de diálogo en MSDOS.
> -Inhabilita el acceso al comando CMD(Comandos).
> -Crea un Nuevo Administrados de Sistema y nosotros pasamos a ser Invitados de una cuenta.
> -Oculta las carpetas de la raíz del disco C y cambia sus atributos a Solo Lectura y Ocultos.
> -Crea una gran cantidad de copias del troyano en la raíz del disco C con íconos de carpeta y nombres similares a los de las carpetas existentes para confundir al usuario y proporcionar la re infección del sistema utilizando al propio usuario.
> -Intercepta el servicio de impresión tal que sustituye al mismo con el archivo del troyano.
>
> El virus MONTAGUE, Infecta los siguientes archivos:
> C:WINDOWSSystem32smss.exe
> C:WINDOWSsystem32csrss.ex e
> C:WINDOWSsystem32winlogon .exe
> C:WINDOWSsystem32services .exe
> C:WINDOWSsystem32lsass.ex e
> C:WINDOWSsystem32svchost. exe
> C:WINDOWSsystem32svchost. exe
> C:WINDOWSSystem32svchost. exe
> C:WINDOWSsystem32svchost. exe
> C:WINDOWSsystem32svchost. exe
> C:WINDOWSExplorer.EXE
> C:Program FilestlinkAU-600 Agent.exe
> C:WINDOWSwinsys.exe
> C:WINDOWSOV530EM.exe
> C:WINDOWSsystem32ccPrxy.e xe
> C:WINDOWSsystem32SP00LSV. EXE
> C:WINDOWSsystem32ctfmon.e xe
> C:Program FilesMicrosoft Firewall Client 2004FwcMgmt.exe
> C:Program FilesMicrosoft Firewall Client 2004FwcAgent.exe
> C:Program FilesEsetnod32krn.exe
> C:WINDOWSsystem32command. com
> C:WINDOWSsystem32svchost. exe
> c:windowsexplorer.exe
> C:WINDOWSSystem32alg.exe
> C:Program FilesVoipStunt.comVoipStu ntVoipStunt.exe
> C:Program FilesSecurity Task ManagerTaskMan.exe
> C

OCUME~1juanjose.NTVLOC ALS~1TempRar$EX00.209Hija ckThis.exe
> C:Program FilesInternet Exploreriexplore.exe
> C:Program FilesInternet Exploreriexplore.exe
>
> R1 - HKLMSoftwareMicrosoftInte rnet ExplorerMain,Default_
> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHel per.ocx
> O4 - HKLM..Run: [TLinkAgent] C:Program FilestlinkAU-600 Agent.exe
> O4 - HKLM..Run: [Winsys] C:WINDOWSwinsys.exe
> O4 - HKLM..Run: [Ovt Wia] C:WINDOWSOV530EM.exe
> O4 - HKLM..Run: [Win2x] C:WINDOWSsystem32Win2x.ex e
> O4 - HKLM..Run: [ccPrxy.exe] ccPrxy.exe
> O4 - HKLM..Run: [SP00LSV.EXE] SP00LSV.EXE
> O4 - HKLM..Run: [nod32kui] "C:Program FilesEsetnod32kui.exe" /WAITSERVICE
> O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.e xe
> O4 - HKCU..Run: [VoipStunt] "C:Program FilesVoipStunt.comVoipStu ntVoipStunt.exe" -nosplash -minimized
> O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
> O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
> O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:Program FilesYahoo!MessengerYahoo Messenger.exe
> O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:Program FilesYahoo!MessengerYahoo Messenger.exe
> O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
> O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
> O10 - Unknown file in Winsock LSP: c

rogram filesmicrosoft firewall client 2004fwcwsp.dll
> O10 - Unknown file in Winsock LSP: c

rogram filesmicrosoft firewall client 2004fwcwsp.dll
> O14 - IERESET.INF: START_PAGE_URL=http://www.ntv.icrt.cu
> O17 - HKLMSystemCCSServicesTcpi pParameters: Domain = ntv.icrt.cu
> O17 - HKLMSystemCS1ServicesTcpi pParameters: Domain = ntv.icrt.cu
> O17 - HKLMSystemCS2ServicesTcpi pParameters: Domain = ntv.icrt.cu
> O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:Program FilesEsetnod32krn.exe
> O23 - Service: Number of any portable media. - Unknown owner - C:WINDOWSsystem32command. com
> O23 - Service: Print Spooler (Spooler) - Unknown owner - C:WINDOWSsystem32save.exe
> O23 - Service: Windows Security Manager - Unknown owner - C:Program FilesOutlook Expressmsinm.exe
>
>
> El Virus: W32.EFECTO.A y W32.EFECTO.B: MONTAGUE,
> Elimina y deshabilita los siguientes programas y procesos:
> Norton en Todas sus versions.
> Norton Antivirus
> Norton AntiVirus Porfessional
> Mcafee en Todas sus versions.
> Anti-Virus
> NOD32 en Todas sus versiones.
> NOD32 Antivirus Program - [My Profile]
> NOD32 Control Center
> AntiViral Toolkit Pro
> Kaspersky en Todas sus versions.
> Kaspersky Anti-Virus Scanner
> Kaspersky Anti-Virus personal
> Kaspersky Anti-Virus Monitor
> AVG En Todas sus versions.
> AVG E-Mail Server Edition - Advanced Interface
> AVG E-mail Server Edition - Basic Interface
> AVG E-mail Server Edition - Control Centerr
> Pop3trap
> Ad-Aware SE Personal
> eTrust Antivirus - Local Scanner
> F-Secure Anti-Virus
> AVP Monitor
> Sygate Personal Firewall Pro
> BitDefender
> My Computer
> Registry Monitor
> HijackThis
> BlackICE
> Process Explorer - Sysinternals: Windows Sysinternals: Documentation, downloads and additional resources
> Registry Monitor - Sysinternals: Windows Sysinternals: Documentation, downloads and additional resources
> Windows Security Center
> Windows Firewall
> Control Panel
> Run"Turn Off Computer
> Log off Windows
> Command Prompt
> Spybot - Search & Destroy
> Sophos Anti-Virus - SWEEP
> Anti-Trojan - Infection Monitor
> Registry Editor
> Windows Task Manager
> System Configuration Utility
> Services
> Ad-aware 6.0 Personal
> System Restore
> WinPatrol
>
> Detección y Limpieza del Virus:
> Si El Virus Infecta al Equipo, No hay modo de poder limpiar o desifectar el sistema, la unica solucion es el formateo del mismo, en algunos Foros mencionan que con el Antivirus Nod32 se elimina, es Falso, Tambien se dan ciertas modificaciones en el registro para eliminar el virus, pero como modificar el registro cuando no tenemos acceso al mismo. Esto es cuando el Virus ya esta Infectando al sistema.
>
> El Virus llega por: Correo, Paginas XXX, Cybercafes, Edonkey, Emule, Kazaa, Pando, Torrent, y en archivos como por ejemplo: Mp3, imagenes, comprimidos, Word, documento de texto.
> Pero teniendo la terminacion .exe
> Es decir si reciben una imagen, un mp3 etc.. pero con terminacion.exe:
> EJEMPLO:
> Beyonce - Crazy.exe(pero con el Icono de un Mp3)..
> Wallpaper.exe(con el icono JPeg)
> Comprimido.exe(con el icono de Winrar o WinZip)..
> Documentos de Word o excel.exe(Con los iconos Correspondientes a Word o Excel..
>
> Para Evitar esto, Solo es detectado por Mcafee y Avast Porfessional.
> -Mcafee solo lo detecta pero al ponerlo en cuarentena o tratarlo de limpiar el virus deshabilita y elimina los archivos de Mcafee.
>
> -El Antivirus Avast Professional, Es el único, capaz de detectar y limpiar este gusano dañino, antes de que se ejecute..
>
> Se recomienda la Actualización del Antivirus antes de que pase lo peor…
> Su servidor Utilizo el Nod32, Kasperky, Norton, Mcafee sin Resultado para eliminar este Virus, ya que como mencione, ni siquiera lo detectaba, solo Mcafee con sus respectivas consecuencias.....
> hasta que Instale el Avast o un programita KillBox, en el Equipo Infectado y Pude Detectar y Eliminar este Virus..
>
> * © 2008 Microsoft
> * Privacidad
> * Legal
>
>
>
> _________________________ _________________________ _______________

Pablo · 21/04/08, 17:18:23

Hola Helena, lindo virus

Entré en la página de Avast avast! antivirus software - Windows viruses y no dice nada al respecto de este supuesto virus, si es el único antivirus que lo detecta debería estar en el listado, por otro lado tengo entendido que todos los nombres de los virus estan en inglés por eso me parece raro que lleve el nombre de W32.EFECTO.a

Este es el listado de los W32 que detecta el Avast

Win32:Beagle
Win32:Blaster
Win32:Bugbear-B
Win32

umaru
Win32:Fizzer
Win32:Ganda
Win32:Kapucen-B
Win32:MiMail-A
Win32:Mimail-C
Win32:Mimail-E
Win32:Mimail-I
Win32:MiMail-J
Win32:Mydoom
Win32:Mydoom-M
Win32:Naith (also known as Avril, Lirva)
Win32:Netsky-B
Win32:Polip
Win32:Sasser
Win32:Sober-A
Win32:Sober-H
Win32:Sobig
Win32:Sobig-B
Win32:Sobig-C
Win32:Sobig-E
Win32:Sobig-F
Win32:SQLSlammer
Win32:Swen
Win32:VB-CD alias Kamasutra
Win32:Virut
Win32:Warezov family
Win32:Zafi-D
Win32:Zlob-JN
Win32:Zotob
WMF Exploit

Ahora por otro lado el Virus MONTAGUE si existe y es detectado por varios antivirus entre ellos el Mc Afee y no es un virus nuevo, al menos esta circulando desde febrero del 2007.

Aca les dejo el enlace y el perfil del virus

McAfee – Computer Anti-Virus Software and Internet Security For Your PC

Virus Perfil: Montague
Evaluación de Riesgos
- Inicio Usuarios: Baja
- Empresas Usuarios: Baja
Fecha de identificación: 2/22/2007
Fecha Alta: 2/22/2007
Origen: N/A
Longitud: Varía
Tipo: Trojano
SubTipo: Win32
DAT Required: 4969

Características del Virus

En ejecución, Montague crea las siguientes copias de sí mismo:

C: \ Windows \ System32 \ Win2x.exe
C: \ Windows \ System32 \ save.exe

Una clave Run del registro se crea para garantizar que el Troyano se puso en marcha en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Softwa re\Windows\CurrentVersion \Run "Win2x"="C:\Windows\Syste m32\Win2x.exe"

Además, el valor ImagePath registro para el servicio Print Spooler se cambia a punto a una copia del troyano:

HKEY_LOCAL_MACHINE\System \CurrentControlSet\Servic es\Spooler"ImagePath" = "C:\Windows\System32\save .exe" "ImagePath"

Varias claves del registro establecido que bloquean el uso de las herramientas comunes del sistema y de configuración de la interfaz de usuario:

HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\Curre ntVersion\Policies\Explor er
"DisallowCpl" = "1"
"NoFolderOptions" = "1"

HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\Curre ntVersion\Explorer\Advanc ed
"HideFileExt" = "1"
"Hidden" = "2"

HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\Curre ntVersion\Policies\System
"DisableTaskmgr" = "1"
"DisableRegistryTools " = "2"

HKEY_CURRENT_USER\Softwar e\Policies\Microsoft\Wind ows\System
"DisableCMD" = "2"

HKEY_LOCAL_MACHINE\Softwa re\Policies\Microsoft\Win dows NT\SystemRestore
"DisableSR" = "1"

Todas las carpetas en la raíz del sistema están marcados como oculto, sistema, y de sólo lectura.
Las copias de la correspondencia con los nombres de Troya se crea y se coloca en la raíz del sistema.
Dado que el uso de copias por defecto el icono de carpeta y ocultos / sistema de archivos ya no se muestra, la presente tiene el efecto visual de "sustituir" las actuales carpetas con copias de los troyanos.

El archivo boot.ini [sistemas operativos] se ha modificado para mostrar un mensaje en el arranque:

[Sistemas operativos]
multi(0)disk(0)rdisk(0)pa rtition(1)\Romeo="Su PC esta infectada por un virus de ultima generacion"

Indicaciones de infección

Presencia de los archivos o claves del registro mencionado.

El mensaje "Su PC esta infestada por un virus de ultima generacion" mostradas en el arranque.
La imposibilidad de acceder a las herramientas de sistema de bloqueo y las funciones mencionadas.

Método de Infección
Los troyanos no se autoreplican.
Los canales de distribución incluyen IRC, peer-to-peer redes, publicaciones de grupos de noticias, etc También pueden ser descargados por otros virus y / o troyanos que se instalen en el sistema del usuario.

Instrucciones de eliminación
Todos los usuarios:
Utilice el motor actual y los archivos de DAT para la detección y eliminación.

Las modificaciones introducidas en el sistema de registro y / o los archivos INI a los efectos del inicio del sistema de enganche, se ha eliminado con la limpieza si se recomienda la combinación de motores y de DAT (o superior).

--------------------------

Disculpen no se ingles el enlace anterior esta a la pàgina oficial de Mc Affee

lo separo de reportar hoaxes y lo dejo como nuevo tema asi esta mas visible

Saludos