El codigo malisioso autorun.ini sufrio modificaciones, con las cuales a la fecha non solo infecta meorias usb conectando una imagen inserandola automaticamente como fondo de las memorias usb sino que tambien lleva inmerso un codigo de gusano que se autocopia en muchas de las carpetas del ordenador por lomenos en todas las que puede crea una gran cantidad de archivos ocultos y cada vez que se inserta una memoria se infecta, por lo que este codigo pasa a la categoria de virus ya que se ha convertido en un gusano.
Haciendo varias pruevas he encontrado que varios antivirusm solo pueden detectar los codigos malisiosos no ocultos, ademas desvilita la opcion mostrar archivosocultos con lo cual te impide una busqueda manual, eliminar los que no estan ocultos no sirve de nada ya que los archivos ocultos creados en las carpetas del ordenador o memoria terminan por restituirlos, nod 32 ansolo alerto cuatro codigos malisiosos, avast detecto 7 y kasperski erradico el virus por completo con los archivos ocultos, con lo cual la mejor solusion de momento es analizar la PC infectada y memorias USB con esta solusiòn antivirus.
Colage
viernes, 23 de noviembre de 2007
Codigo malisioso Autorun.ini
Este es un codigo que esta siendo muy utilizado en estas fechas para mandar mensages de distintos tipos o simplemante para ingresar sus codigos usuarios de memorias y para poder propagarlos en los ordenadores, sin envargo apezar de que esto no puede ser considerado como un virus resulta bastante molesto para todos los que han sido infectados por este codigo, sin mensionar que este tipo de intrusòn esta penada por la ley.
Existen miles de modificaciones ha este codigo, incluidas las verciones para cd que es de donde se cree que aparecio y que posteriormente fue midificado para las memorias usb.
Nombre: INF/Autorun
Nombre NOD32: INF/Autorun
Tipo: Caballo de Troya
Alias: INF/Autorun
Fecha: 6/jun/07
Actualizado: 20/set/07
Plataforma: Windows 32-bit
Tamaño: varios
Detección genérica para una gran variedad de malware que utiliza el archivo AUTORUN.INF para ejecutarse. Dentro de esta categoría, se destacan los malwares que se propagan vía dispositivos USB.
Normalmente, los archivos AUTORUN.INF, no son archivos maliciosos, y simplemente contienen información de los programas que pueden ejecutarse automáticamente cuando un dispositivo de almacenamiento removible (memorias USB, CDs, etc.), son insertados en la computadora.
Estos archivos deben estar en el directorio raíz de la correspondiente unidad.
Aquellos virus que se instalan en el sistema vía archivos AUTORUN.INF, o que los modifican para hacerlo, son detectados como INF/Autorun por ESET NOD32.
IMPORTANTE: Tenga en cuenta que la existencia de un archivo AUTORUN.INF en su computadora, no implica necesariamente que la misma esté infectada por un archivo malicioso.
Reparación manual
NOTA: Esta descripción se aplica a una variante específica de un determinado malware. Pueden existir numerosas versiones, detectadas por ESET NOD32 con el mismo nombre, que no necesariamente realizarán los mismos cambios en el sistema que aquí se describen.
Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Módulos de actualización, NOD32 Update y haga clic en el botón "Actualizar ahora". Compruebe que la versión de firmas de virus sea la misma que aparece en http://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Este es un codigo que esta siendo muy utilizado en estas fechas para mandar mensages de distintos tipos o simplemante para ingresar sus codigos usuarios de memorias y para poder propagarlos en los ordenadores, sin envargo apezar de que esto no puede ser considerado como un virus resulta bastante molesto para todos los que han sido infectados por este codigo, sin mensionar que este tipo de intrusòn esta penada por la ley.
Existen miles de modificaciones ha este codigo, incluidas las verciones para cd que es de donde se cree que aparecio y que posteriormente fue midificado para las memorias usb.
Nombre: INF/Autorun
Nombre NOD32: INF/Autorun
Tipo: Caballo de Troya
Alias: INF/Autorun
Fecha: 6/jun/07
Actualizado: 20/set/07
Plataforma: Windows 32-bit
Tamaño: varios
Detección genérica para una gran variedad de malware que utiliza el archivo AUTORUN.INF para ejecutarse. Dentro de esta categoría, se destacan los malwares que se propagan vía dispositivos USB.
Normalmente, los archivos AUTORUN.INF, no son archivos maliciosos, y simplemente contienen información de los programas que pueden ejecutarse automáticamente cuando un dispositivo de almacenamiento removible (memorias USB, CDs, etc.), son insertados en la computadora.
Estos archivos deben estar en el directorio raíz de la correspondiente unidad.
Aquellos virus que se instalan en el sistema vía archivos AUTORUN.INF, o que los modifican para hacerlo, son detectados como INF/Autorun por ESET NOD32.
IMPORTANTE: Tenga en cuenta que la existencia de un archivo AUTORUN.INF en su computadora, no implica necesariamente que la misma esté infectada por un archivo malicioso.
Reparación manual
NOTA: Esta descripción se aplica a una variante específica de un determinado malware. Pueden existir numerosas versiones, detectadas por ESET NOD32 con el mismo nombre, que no necesariamente realizarán los mismos cambios en el sistema que aquí se describen.
Antivirus
1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Módulos de actualización, NOD32 Update y haga clic en el botón "Actualizar ahora". Compruebe que la versión de firmas de virus sea la misma que aparece en http://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm
2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
3. Borre los archivos temporales como se indica en el siguiente enlace:
Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm
4. Seleccione la opción "Analizar y Desinfectar automáticamente" en su antivirus. En el caso de ESET NOD32, seleccione Control Center, NOD32 Scanner, haga clic en el botón "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botón "Analizar y desinfectar".
5. En el caso de NOD32, haga clic en el botón "Desinfectar" cuando aparezca, o en el botón "Eliminar" cuando el botón "Desinfectar" no esté activo. En cualquier otro caso, el antivirus le dará el mensaje "sin acciones" y la limpieza se efectuará al reiniciar.
6. Tome nota del nombre de los archivos desinfectados o eliminados.
7. Reinicie la computadora.
8. Vuelva a ejecutar la opción "Analizar y Desinfectar automáticamente".
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
jueves, 22 de noviembre de 2007
Secuina ha encontrado una vulneravilidad no crítica en los antivirus Panda, en el cual un hacker puede sustituir los archivos del directorio donde está instalado el Panda Antivirus.
Las versiones afectadas son: Panda antivirus 2007 y 2008.
Esto es debido a que este directorio tiene permisos inseguros… la solución es bien fácil: cambiar los permisos del directorio.
Fuente: http://noticiastech.com/wordpress/?p=5384
Mas informacion en:
http://www.astrolabio.net/revistas/articulos/EElyVEVpuVBqeNKjGC.php
lunes, 5 de noviembre de 2007
Comparativa Antivirus Noviembre 2007
Hola me he dado a la tarea de hacer una comparativa de los antivirus que mejor desempeño han tenido durante este año que se nos va, bueno sin mas les presento el Top ten oficial (por mi parte almenos, tambien investguen en varias paginas para dar un dato que fuera real) que mas coinsidencias a tenido en la web:
And The Best Antivirus Is…
* The test was made on 23 April-10 May 2007, using Windows XP Professional SP2 on a P4 3000 Mhz, 1024MB DDRAM.
* All programs tested had the latest versions, upgrades and updates and they were tested using their full scanning capabilities e.g. heuristics, full scan etc.
* The default settings of each program were not used, in order for each program to achieve its maximum detection rate. Because of this, there is a possibility for the tested programs to detect a few false positives.
* All programs were updated on 22 April 2007, between 10.00AM and 13.00PM GMT.
* The 174770 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, Nod32, Dr.Web, BitDefender and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus program detected it as a new virus.
* ALL virus samples were unpacked and the only samples that were kept were the ones that were packed using external-dos-packers (that means not winzip, winrar, winace etc).
* The virus samples had the correct file extension using a special program (Renexts) and were unique, according to checksum32 filesize.
* Most "fake" virus samples were removed, as well as "garbage" files.
* The programs MKS_VIR , PER and IPArmor were not tested because there was no english demo version available.
* The programs Anti-Hacker Expert , Command , Extendia AVK , GDATA AVK , BOClean , UNA , VET and Freedom were not tested because there was no demo version available.
* Thorough mode was not used in VBA32 due to extremely slow scan process.
* A-Squared Anti-Malware and eTrust PestPatrol are anti-trojan/anti-spyware programs, not antivirus programs
* F-Prot was tested using its command line scanner (options /adware /applications /report /streams /maxdepth=4 /heurlevel=4) because its GUI kept crashing.
* Windows Live OneCare, BKAV, PC Tools kept crashing while scanning the samples.
* TheShield uses the exact same engine as VirobotExpert. * Avira uses the exact same engine as AntiVir.
* Fire uses the exact same engine as Solo.
* MKS_VIR uses the exact same engine as ArcaVir.
* VirusBuster uses the exact same engine as Vexira.
* BullGuard uses the exact same engine as BitDefender free edition.
* Avast Professional uses the exact same engine as Avast free edition.
* AVG Anti-Malware uses the exact same engine as AVG Antivirus free edition plus the Ewido scan engine, so it has better detection than AVG Antivirus free edition. (More information here * A-squared Anti-Malware Professional uses the exact same engine as A-squared free edition.
* InVircible did not include a "typical" scanner-function and could not be tested.
* V-Catch checks only mail accounts and could not be tested.
* DOS-Based scanners were not tested. The following file types were used. SH, ELF, COM, EXE, PL, BAT, PRC, DOC, XLS, BIN, MDB, IMG, PPT, VBS, MSG, VBA, OLE, HTM, INI, SMM, TD0, REG, CLASS, HTA, JS, VI_, URL, PHP, WMF, HLP, XML, SCR, PIF, SHS, WBT, CSC, MAC, DAT, CLS, STI, INF, HQX, XMI, SIT. The virus samples were divided into these categories, according to the type of the virus :
* File = BeOS, FreeBSD, Linux, Mac, Palm, OS2, Unix, BinaryImage, BAS viruses, MenuetOS. * MS-DOS = MS-DOS viruses.
* Windows = Win.*.* viruses.
* Macro = Macro, Multi and Formula viruses. * Malware = Adware, DoS, Constructors, Exploit, Flooders, Nukers, Sniffers, SpamTools, Spoofers, Virus Construction Tools, Droppers, PolyEngines.
* Script = ABAP, BAT, Corel, HTML, Java, Scripts, MSH, VBS, WBS, Worms, PHP, Perl, Ruby viruses.
* Trojans-Backdoors = Trojan and Backdoor viruses.
Rank
1. Kaspersky version 7.0.0.43 beta - 99.23%
2. Kaspersky version 6.0.2.614 - 99.13%
3. Active Virus Shield by AOL version 6.0.0.308 - 99.13%
4. ZoneAlarm with KAV Antivirus version 7.0.337.000 - 99.13%
5. F-Secure 2007 version 7.01.128 - 98.56%
6. BitDefender Professional version 10 - 97.70%
7. BullGuard version 7.0.0.23 - 96.59%
8. Ashampoo version 1.30 - 95.80%
9. eScan version 8.0.671.1 - 94.43%
10. Nod32 version 2.70.32 - 94.00%
11. CyberScrub version 1.0 - 93.27%
12. Avast Professional version 4.7.986 - 92.82%
13. AVG Anti-Malware version 7.5.465 - 92.14%
14. F-Prot version 6.0.6.4 - 91.35%
15. McAfee Enterprise version 8.5.0i+AntiSpyware module - 90.65%
16. Panda 2007 version 2.01.00 - 90.06%
17. Norman version 5.90.37 - 88.47%
18. ArcaVir 2007 - 88.24%
19. McAfee version 11.0.213 - 86.13%
20. Norton Professional 2007 - 86.08%
21. Rising AV version 19.19.42 - 85.46%
22. Dr. Web version 4.33.2 - 85.09%
23. PC-Cillin 2007 version 15.00.1450 - 84.96%
24. Iolo version 1.1.8 - 83.35%
25. Virus Chaser version 5.0a - 79.51%
26. VBA32 version 3.11.4 - 77.66%
27. Sophos Sweep version 6.5.1 - 69.79%
28. ViRobot Expert version 5.0 - 69.53%
29. Antiy Ghostbusters version 5.2.1 - 65.95%
30. Zondex Guard version 5.4.2 - 63.79%
31. Vexira 2006 version 5.002.62 - 60.07%
32. V3 Internet Security version 2007.04.21.00 - 55.09%
33. Comodo version 2.0.12.47 beta - 53.94%
34. Comodo version 1.1.0.3 - 53.39%
35. A-Squared Anti-Malware version 2.1 - 52.69%
36. Ikarus version 5.19 - 50.56% 37. Digital Patrol version 5.00.
37 - 49.80%
38. ClamWin version 0.90.1 - 47.95%
39. Quick Heal version 9.00 - 38.64%
40. Solo version 5.1 build 5.7.3 - 34.52%
41. Protector Plus version 8.0.A02 - 33.13%
42. PcClear version 1.0.4.3 - 27.14%
43. AntiTrojan Shield version 2.1.0.14 - 20.25%
44. PC Door Guard version 4.2.0.35- 19.95%
45. Trojan Hunter version 4.6.930 - 19.20%
46. VirIT version 6.1.75 - 18.78%
47. E-Trust PestPatrol version 8.0.0.6 - 11.80%
48. Trojan Remover version 6.6.0 - 10.44%
49. The Cleaner version 4.2.4319 - 7.26%
50. True Sword version 4.2 - 2.20%
51. Hacker Eliminator version 1.2 - 1.43%
52. Abacre version 1.4 - 0.00% (Esto a de ser nadamas un exe)
Bueno pues esta es la comparativa 2007 los antivirus y sus ranks, espero les sirva de algo.
And The Best Antivirus Is…
* The test was made on 23 April-10 May 2007, using Windows XP Professional SP2 on a P4 3000 Mhz, 1024MB DDRAM.
* All programs tested had the latest versions, upgrades and updates and they were tested using their full scanning capabilities e.g. heuristics, full scan etc.
* The default settings of each program were not used, in order for each program to achieve its maximum detection rate. Because of this, there is a possibility for the tested programs to detect a few false positives.
* All programs were updated on 22 April 2007, between 10.00AM and 13.00PM GMT.
* The 174770 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, Nod32, Dr.Web, BitDefender and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus program detected it as a new virus.
* ALL virus samples were unpacked and the only samples that were kept were the ones that were packed using external-dos-packers (that means not winzip, winrar, winace etc).
* The virus samples had the correct file extension using a special program (Renexts) and were unique, according to checksum32 filesize.
* Most "fake" virus samples were removed, as well as "garbage" files.
* The programs MKS_VIR , PER and IPArmor were not tested because there was no english demo version available.
* The programs Anti-Hacker Expert , Command , Extendia AVK , GDATA AVK , BOClean , UNA , VET and Freedom were not tested because there was no demo version available.
* Thorough mode was not used in VBA32 due to extremely slow scan process.
* A-Squared Anti-Malware and eTrust PestPatrol are anti-trojan/anti-spyware programs, not antivirus programs
* F-Prot was tested using its command line scanner (options /adware /applications /report /streams /maxdepth=4 /heurlevel=4) because its GUI kept crashing.
* Windows Live OneCare, BKAV, PC Tools kept crashing while scanning the samples.
* TheShield uses the exact same engine as VirobotExpert. * Avira uses the exact same engine as AntiVir.
* Fire uses the exact same engine as Solo.
* MKS_VIR uses the exact same engine as ArcaVir.
* VirusBuster uses the exact same engine as Vexira.
* BullGuard uses the exact same engine as BitDefender free edition.
* Avast Professional uses the exact same engine as Avast free edition.
* AVG Anti-Malware uses the exact same engine as AVG Antivirus free edition plus the Ewido scan engine, so it has better detection than AVG Antivirus free edition. (More information here * A-squared Anti-Malware Professional uses the exact same engine as A-squared free edition.
* InVircible did not include a "typical" scanner-function and could not be tested.
* V-Catch checks only mail accounts and could not be tested.
* DOS-Based scanners were not tested. The following file types were used. SH, ELF, COM, EXE, PL, BAT, PRC, DOC, XLS, BIN, MDB, IMG, PPT, VBS, MSG, VBA, OLE, HTM, INI, SMM, TD0, REG, CLASS, HTA, JS, VI_, URL, PHP, WMF, HLP, XML, SCR, PIF, SHS, WBT, CSC, MAC, DAT, CLS, STI, INF, HQX, XMI, SIT. The virus samples were divided into these categories, according to the type of the virus :
* File = BeOS, FreeBSD, Linux, Mac, Palm, OS2, Unix, BinaryImage, BAS viruses, MenuetOS. * MS-DOS = MS-DOS viruses.
* Windows = Win.*.* viruses.
* Macro = Macro, Multi and Formula viruses. * Malware = Adware, DoS, Constructors, Exploit, Flooders, Nukers, Sniffers, SpamTools, Spoofers, Virus Construction Tools, Droppers, PolyEngines.
* Script = ABAP, BAT, Corel, HTML, Java, Scripts, MSH, VBS, WBS, Worms, PHP, Perl, Ruby viruses.
* Trojans-Backdoors = Trojan and Backdoor viruses.
Rank
1. Kaspersky version 7.0.0.43 beta - 99.23%
2. Kaspersky version 6.0.2.614 - 99.13%
3. Active Virus Shield by AOL version 6.0.0.308 - 99.13%
4. ZoneAlarm with KAV Antivirus version 7.0.337.000 - 99.13%
5. F-Secure 2007 version 7.01.128 - 98.56%
6. BitDefender Professional version 10 - 97.70%
7. BullGuard version 7.0.0.23 - 96.59%
8. Ashampoo version 1.30 - 95.80%
9. eScan version 8.0.671.1 - 94.43%
10. Nod32 version 2.70.32 - 94.00%
11. CyberScrub version 1.0 - 93.27%
12. Avast Professional version 4.7.986 - 92.82%
13. AVG Anti-Malware version 7.5.465 - 92.14%
14. F-Prot version 6.0.6.4 - 91.35%
15. McAfee Enterprise version 8.5.0i+AntiSpyware module - 90.65%
16. Panda 2007 version 2.01.00 - 90.06%
17. Norman version 5.90.37 - 88.47%
18. ArcaVir 2007 - 88.24%
19. McAfee version 11.0.213 - 86.13%
20. Norton Professional 2007 - 86.08%
21. Rising AV version 19.19.42 - 85.46%
22. Dr. Web version 4.33.2 - 85.09%
23. PC-Cillin 2007 version 15.00.1450 - 84.96%
24. Iolo version 1.1.8 - 83.35%
25. Virus Chaser version 5.0a - 79.51%
26. VBA32 version 3.11.4 - 77.66%
27. Sophos Sweep version 6.5.1 - 69.79%
28. ViRobot Expert version 5.0 - 69.53%
29. Antiy Ghostbusters version 5.2.1 - 65.95%
30. Zondex Guard version 5.4.2 - 63.79%
31. Vexira 2006 version 5.002.62 - 60.07%
32. V3 Internet Security version 2007.04.21.00 - 55.09%
33. Comodo version 2.0.12.47 beta - 53.94%
34. Comodo version 1.1.0.3 - 53.39%
35. A-Squared Anti-Malware version 2.1 - 52.69%
36. Ikarus version 5.19 - 50.56% 37. Digital Patrol version 5.00.
37 - 49.80%
38. ClamWin version 0.90.1 - 47.95%
39. Quick Heal version 9.00 - 38.64%
40. Solo version 5.1 build 5.7.3 - 34.52%
41. Protector Plus version 8.0.A02 - 33.13%
42. PcClear version 1.0.4.3 - 27.14%
43. AntiTrojan Shield version 2.1.0.14 - 20.25%
44. PC Door Guard version 4.2.0.35- 19.95%
45. Trojan Hunter version 4.6.930 - 19.20%
46. VirIT version 6.1.75 - 18.78%
47. E-Trust PestPatrol version 8.0.0.6 - 11.80%
48. Trojan Remover version 6.6.0 - 10.44%
49. The Cleaner version 4.2.4319 - 7.26%
50. True Sword version 4.2 - 2.20%
51. Hacker Eliminator version 1.2 - 1.43%
52. Abacre version 1.4 - 0.00% (Esto a de ser nadamas un exe)
Bueno pues esta es la comparativa 2007 los antivirus y sus ranks, espero les sirva de algo.
Suscribirse a:
Entradas (Atom)