Página clasificados del Comercio esta infectada con algun troyano

Publicado en 'Seguridad Informática' por mishicato, 14 Dic 2009.





  1. mishicato

    mishicato Miembro nuevo

    Registro:
    9 Dic 2008
    Mensajes:
    13
    Likes:
    0




    Hoy al ingresar a la pag. de clasificados del comercio me salió una ventana de java para "actualizarse" y sin percatarme le di RUN el cual luego me instaló un troyano y me cambio la pag. por defecto del intenet explorer, tengan cuidado alguien ha modificado esa pagina para que se infecten e instalen ese troyano.

    Que mal por el Comercio que no tiene los controles de seguridad en su sitio web.

    Slds

    ¬¬
     


  2. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
    En estos momentos todo esta funcionando normalmente en la pagina de El Comercio.

    Saludos,

    Mario Chilo
    www.laboratoriovirus.com
     
  3. mishicato

    mishicato Miembro nuevo

    Registro:
    9 Dic 2008
    Mensajes:
    13
    Likes:
    0
    OJO: el problema es en la pag. de CLASIFICADOS


     
  4. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
  5. jen_n

    jen_n Miembro nuevo

    Registro:
    17 Set 2009
    Mensajes:
    36
    Likes:
    1
    Pues a mí me acaba de salir esto:

    [​IMG]

    Así que mejor prevenir :yeah:
     
    Última edición: 14 Dic 2009
  6. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
    Última edición: 14 Dic 2009
  7. Goku

    Goku Miembro de bronce

    Registro:
    23 Set 2006
    Mensajes:
    1,646
    Likes:
    86
    Pues en estos momentos acabo de acceder al sitio y mi NOD32 no me mostró ninguna alerta.
     
  8. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
    Siendo las 10:38 p.m. sigue infectada la pagina de El Comercio.

    Aparece la alerta del Nod32:

    [​IMG]

    Luego se intenta descargar un archivo "javaClassVideo.exe", que a esta hora ya es detectado por 14 antivirus.

    a-squared 4.5.0.43 2009.12.15 Trojan.Win32.Cosmu!IK
    AhnLab-V3 5.0.0.2 2009.12.14 -
    AntiVir 7.9.1.108 2009.12.14 TR/VB.Downloader.Gen
    Antiy-AVL 2.0.3.7 2009.12.14 -
    Authentium 5.2.0.5 2009.12.02 -
    Avast 4.8.1351.0 2009.12.14 -
    AVG 8.5.0.427 2009.12.14 Generic15.CNAW
    BitDefender 7.2 2009.12.15 -
    CAT-QuickHeal 10.00 2009.12.14 -
    ClamAV 0.94.1 2009.12.15 -
    Comodo 3246 2009.12.15 Heur.Suspicious
    DrWeb 5.0.0.12182 2009.12.14 -
    eSafe 7.0.17.0 2009.12.14 -
    eTrust-Vet 35.1.7175 2009.12.14 -
    F-Prot 4.5.1.85 2009.12.14 -
    F-Secure 9.0.15370.0 2009.12.15 -
    Fortinet 4.0.14.0 2009.12.15 W32/StartP.A!tr
    GData 19 2009.12.15 -
    Ikarus T3.1.1.74.0 2009.12.15 Trojan.Win32.Cosmu
    Jiangmin 13.0.900 2009.12.14 -
    K7AntiVirus 7.10.920 2009.12.14 -
    Kaspersky 7.0.0.125 2009.12.15 Trojan.Win32.Cosmu.ewo
    McAfee 5832 2009.12.14 -
    McAfee+Artemis 5832 2009.12.14 Artemis!966E8BE04F17
    McAfee-GW-Edition 6.8.5 2009.12.15 Trojan.VB.Downloader.Gen
    Microsoft 1.5302 2009.12.15 -
    NOD32 4688 2009.12.15 probably unknown NewHeur_PE
    Norman 6.04.03 2009.12.14 -
    nProtect 2009.1.8.0 2009.12.14 -
    Panda 10.0.2.2 2009.12.14 Suspicious file
    PCTools 7.0.3.5 2009.12.15 -
    Prevx 3.0 2009.12.15 Medium Risk Malware
    Rising 22.26.01.01 2009.12.15 -
    Sophos 4.48.0 2009.12.15 Mal/StartP-A
    Sunbelt 3.2.1858.2 2009.12.15 -
    Symantec 1.4.4.12 2009.12.15 -
    TheHacker 6.5.0.2.092 2009.12.15 - Trojan/Exploit.gen
    TrendMicro 9.100.0.1001 2009.12.14 -
    VBA32 3.12.12.0 2009.12.13 -
    ViRobot 2009.12.15.2088 2009.12.15 -
    VirusBuster 5.0.21.0 2009.12.14 -

    Saludos,

    Mario Chilo
    www.laboratoriovirus.com
     
    Última edición: 15 Dic 2009
  9. mishicato

    mishicato Miembro nuevo

    Registro:
    9 Dic 2008
    Mensajes:
    13
    Likes:
    0
    siendo casi las 9am sigue infectada y en mi pc con mcafee virusscan 8.7 con dat 5830, no lo detecta aún :cray:
     
  10. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
    Ya paso mas de 1 dia y la pagina sigue infecta. Y al igual que ayer solo 13 antivirus lo detectan y eliminan. Los 3 grandes antivirus(TrendMicro, McAfee y Symantec) siguen sin detectar a este bicho.

    Saludos,

    Mario Chilo
    www.laboratoriovirus.com

    ----- mensaje añadido, 15-dic-2009 a las 16:06 -----

    Aparentemente a esta hora el problema con la Pagina de Los Clasificados de El Comercio, se soluciono. Esperemos que no se vuelvan a Infectar.

    Saludos,

    Mario Chilo
    www.laboratoriovirus.com
     
  11. XxRoMaxX

    XxRoMaxX Miembro frecuente

    Registro:
    29 Jul 2009
    Mensajes:
    144
    Likes:
    17
    una duda Mario, ¿sabrás que es lo que hacia ese troyano? osea ¿Que daño iba a causar si ingresaba a una PC?

    Si te pusiste a "juguetear" un rato con el bicho y pudieras responderme te lo agradecería.

    Salu2.
     
  12. Fumador

    Fumador Miembro frecuente

    Registro:
    22 Jun 2009
    Mensajes:
    162
    Likes:
    10
    recuerdo que un bicho tambien me infecto por meterme a una pagina de aduanas.... :ptm:
     
  13. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
    Aqui te muestro el analisis preliminar de esta variante del troyano Cosmu. Primero veamos como nuestros amigos de las empresas antivirus van hasta el dia de Hoy 16/12/2009 siendo las 10:30 a.m.
    [​IMG]

    Como vemos solo 15 antivirus estan detectando al bicho. Veamos en forma detallada:

    Estos son los 10 antivirus detectan al Troyano con su nombre:

    a-squared 4.5.0.43 2009.12.16.- Trojan.Win32.Cosmu!IK
    AntiVir 7.9.1.108 2009.12.16.- TR/VB.Downloader.Gen
    AVG 8.5.0.427 2009.12.16.- Generic15.CNAW
    Fortinet 4.0.14.0 2009.12.16.- W32/StartP.A!tr
    Ikarus T3.1.1.78.0 2009.12.16.- Trojan.Win32.Cosmu
    K7AntiVirus 7.10.922 2009.12.16.- Trojan.Win32.Malware.1
    Kaspersky 7.0.0.125 2009.12.16.- Trojan.Win32.Cosmu.ewo
    McAfee-GW-Edition 6.8.5 2009.12.16.- Trojan.VB.Downloader.Gen
    Sophos 4.48.0 2009.12.16.- Mal/StartP-A
    TheHacker 6.5.0.2.094 2009.12.15.- Trojan/Exploit.gen

    En este caso estos antivirus procederan a eliminar el archivo en forma automatica. Ya que lo detecta correctamente y procede en forma normal y automatica.

    Estos 5 antivirus lo detectan en forma generica con su Heuristica:
    Comodo 3264 2009.12.16.- Heur.Suspicious
    McAfee+Artemis 5833 2009.12.15.- Artemis!966E8BE04F17
    NOD32 4693 2009.12.16.- probably unknown NewHeur_PE
    Panda 10.0.2.2 2009.12.15.- Suspicious file
    Prevx 3.0 2009.12.16.- High Risk Cloaked Malware

    Esto es muy variable, dependiendo como esta configurado el antivirus. En muchos casos muestra una ventana en la cual pide la intervencion del usuario o en su defecto lo envia a cuarentena. Cabe señalar que sin tener la muestra del bicho han respondido muy bien.

    Y estos son los antivirus que no detectan al troyano:
    AhnLab-V3
    Antiy-AVL
    Authentium
    Avast
    BitDefender
    CAT-QuickHeal
    ClamAV
    DrWeb
    eSafe
    eTrust
    F-Prot
    F-Secure
    GData
    Jiangmin
    McAfee
    Microsoft
    Norman
    nProtect
    PCTools
    Rising
    Sunbelt
    Symantec
    TrendMicro
    VBA32
    ViRobot
    VirusBuster

    Como pueden ver son muchos los antivirus que aun no detectan a este troyano, y eso que ellos ya tienen la muestra desde el 12 de Diciembre, ya pasaron 4 dias y aun no hacen nada.

    Como ya comente anteriormente el Troyano ya no se encuentra en la pagina de Los Clasificados de El Comercio. El problema ya fue resuelto. Ahora a los que ingresaron a esa web y fueron infectados aqui les va algunos detalles para identificar si estan infectados:

    1. Descarga el archivo JAVACLASSVIDEO.EXE
    2. Al cargar el Troyano en memoria se añadira en los registros de Windows para ejecutarse en forma automatica en el siguiente reinicio de la PC:

    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
    "Load"=C:\WINDOWS\winvdll.exe

    3. Se copia en la Carpeta C:\Windows con el nombre WINVDLL.EXE
    4. Y procedera a cargarse en memoria al reinicio de la PC como winvdll.exe.
    5. Modifica la configuracion de la Pagina de Inicio del Internet Explorer para que no pueda ser modificada. Se corrige en los Registros de Windows.
    6. El troyano ocupara mas del 90% de los procesos del CPU, sera muy sencillo de detectar.
    7. Simplemente con finalizar el proceso en memoria, borrarlo y quitando el registro de Windows. Todo Solucionado.

    Este troyano ha sido desarrollado en Visual Basic, el autor es Fabrizio.

    Saludos,

    Mario Chilo
    www.laboratoriovirus.com
     
    Última edición: 16 Dic 2009
  14. XxRoMaxX

    XxRoMaxX Miembro frecuente

    Registro:
    29 Jul 2009
    Mensajes:
    144
    Likes:
    17
    Chevere! :yeah:

    que mal que el F-Secure y el G-data no lo encuentren todavía...y el Avast! que feo a caído, suerte que ya deje de usarlo hace un buen tiempo por q me di cuenta q me dejaba pasar muchos bichos :@. Hasta el Nod32 lo detecta :D...

    Lastima que ya no este circulando el bicho... Hubiera sido interesante probar la solución que das...

    Gracias por la Info.

    Salu2.
     
  15. Solid Snake

    Solid Snake Miembro frecuente

    Registro:
    25 Ago 2009
    Mensajes:
    125
    Likes:
    19
    Por eso soy fiel a Avira jeje.
     
  16. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
    Por fin los antivirus estan comenzando a detectar al bicho en mencion. Aqui les dejo el reporte al 18/12/2009 4:00p.m.

    [​IMG]
     
  17. XxRoMaxX

    XxRoMaxX Miembro frecuente

    Registro:
    29 Jul 2009
    Mensajes:
    144
    Likes:
    17
    el G-Data, F-Secure y el Avast! siguen sin detectarlo... que decepcion :plop:

    Antivirus Microsoft??? sera el Onecare... Pero igual no sirve :D

    Salu2.
     
  18. jen_n

    jen_n Miembro nuevo

    Registro:
    17 Set 2009
    Mensajes:
    36
    Likes:
    1
    No sé por qué le echan mala fama al Avast! si antes que sea detectado por otros antivirus yo ya había posteado mi escritorio con la alerta del Avast! que ya lo había detectado y bloqueado.

     
  19. mchilo

    mchilo Miembro frecuente

    Registro:
    18 Feb 2009
    Mensajes:
    117
    Likes:
    1
    No es que se le haga mala fama al Avast. Lo que sucede es que al ingresar a la pagina web de Los Clasificados, aparte tenia un Exploit el cual es lo que muestra la detección en tiempo real de este antivirus. Al igual que el Nod32 detectaba el siguiente exploit:

    [​IMG]

    Luego de eso si se descargaba el supuesto Update de JAVA, que este caso descarga un archivo EXE, es ahi cuando el AVAST no lo detectaba. Y es ese archivo en mencion que fue enviado para su analisis a la pagina de virustotal. En este caso el Avast detecto un exploit en el HTML de la pagina web. Favor no confundir son 2 cosas distintas.
     
  20. 4LezZ

    4LezZ Miembro maestro

    Registro:
    21 Nov 2009
    Mensajes:
    294
    Likes:
    51
    Y donde queda el Eset Smart Security 4 o es lo mismo que el Nod32?