Virus Pasalavoz.exe y Pasalavoz2.exe

Publicado en 'Seguridad Informática' por Goku, 13 Dic 2007.





  1. Goku

    Goku Miembro de bronce

    Registro:
    23 Set 2006
    Mensajes:
    1,646
    Likes:
    86




    Holas,

    Desde hace casi una semana este virus (aparentemente, un gusano inofensivo) viene infectando todos los dispositivos USB que se conecten en las computadoras de mi Instituto (Cibertec Sede Norte). El antivirus que tienen allí (McAfee VirusScan Enterprise) no lo detecta ni siquiera como un genérico de VB (según mis "análisis" este virus está programado en Visual Basic).

    Lo que hace es, simplemente, copiar el archivo Pasalavoz2.exe en la raíz de cada unidad USB. Aún no sé si los antivirus nacionales (The Hacker y Per) lo detecten; pero lo cierto es que deberían de tenerlo en su laboratorio de virus cuanto antes ya que veo que se está difundiendo masivamente en las computadoras de las cabinas de Internet.

    ¿Alguien ha podido eliminarlo con algún antivirus? Aún no conecto mi memoria USB a mi PC porque no quiere que se infecte, según he leído es complicada su eliminación (en realidad no tanto pero de todos modos es trabajoso estar eliminándolo manualmente jeje).

    ¡Saludos! :)
     
    Última edición: 16 Dic 2007


  2. Dark_Hero

    Dark_Hero Miembro frecuente

    Registro:
    15 Nov 2007
    Mensajes:
    200
    Likes:
    1
    La unica forma de eliminarlo (como yo lo hice) es entrando a modo a prueba de fallos luego pones en mostrar todos los archivos y carpetas quitas tambien los 2 chek´s de ocultar archivos de sistema operativo y ocultar las extensiones de archivos para tipos de archivos conocidos lego deshabilitas la opcion de restaurar sistema (si es que la tuvieces activa) le pasas el McAfee o el Nod32 si es que no lo detecta manualmente puedes encontrarlo en las unidas de disco; son los siguientes: Pasalavoz2 (carpeta), System (carpeta), autorun (inf), Pasalavoz (aplicacion), Pasalavoz2 (aplicacion), asegurate de elinarlos todos y verifica si no esta tambien en otras unidades de disco... puedes hacer el mismo procedimiento poniendo tu disco como esclavo pero el S.O. de otro equipo cargalo a modo a prueba de fallos ya que si lo ejecutas normalmente este se infecta (el disco como esclavo es si no puedes entrar a la carpeta System Volume Information de tus unidades... ojala alguien sepa algo mas sencillo :P

    Para el USB entra a modo a prueba de fallos conectala (no se infecta tu PC) luego formateala si es que tuvieras data entonces realiza los pasos para ver archivos ocultos y eliminalos manualmente...

    PD. cuando la PC esta infectada y formateas en modo normal de S.O. cuando vuelves a poner el USB se contamina automaticamente... es preferible todo a modo a prueba de fallos ya que el malware (encontre su denominacion asi con el Windows Defender) tambien te pone una molesta publicidad... lastimosamente algunos antivirus no estan funcionando bien todavia no encuentran el virus newfolder.exe
     
    Editado por el moderador: 13 Dic 2007
  3. Goku

    Goku Miembro de bronce

    Registro:
    23 Set 2006
    Mensajes:
    1,646
    Likes:
    86
    Gracias por tus consejos Dark_Hero, me han sido de mucha utilidad para realizar algunas investigaciones respecto a este bichito y llegar a limpiarlo :)

    Lo que me percaté es que crea los siguientes archivos y carpetas en las unidades USB (no sé si también afecte a las unidades físicas porque al menos el NOD32 inmunizó el autorun.inf que se encargaba de poner en marcha al gusano):
    • /System/
    • /Pasalavoz2/
    • Autorun.inf
    • Pasalavoz.exe
    • Pasalavoz2.exe
    Todos los archivos, incluso los contenidos dentro de las subcarpetas citadas, están protegidos contra escritura y poseen atributos de oculto y sistema.

    Dentro de la carpetita System el gusano guarda varias réplicas de sí mismo. Lo que me extraña es que a pesar de que el antivirus detuvo el autoarranque de la unidad ahora ya no puedo seleccionar la opción Mostrar archivos y carpetas ocultas, osea la marco pero se desmarca solita a la próxima vez que intento configurarla (pues noto que sigo sin ver los archivos ocultos) :(
    Lo de los Archivos protegidos del Sistema Operativo sí me los deja ver, pero no tiene ningún efecto si es que no se pueden ver los archivos ocultos xD

    Lo que hice fue entrar mediante el cmd (en modo normal) y mediante los comandos attrib, delete y rd le di vuelta al virus éste. Es muy extraño este bichito, como que se comporta un poco raro, me llama la atención. A ver si algún día de mi vida logro desensamblarlo :oops:

    Saludos y pasen la voz :D
     
    Última edición: 13 Dic 2007
  4. gian1200

    gian1200 Miembro frecuente

    Registro:
    6 Jul 2007
    Mensajes:
    85
    Likes:
    0
    se parese a un virus que vi la otra vez (no recuerdo su nombre), el Kaspersky fue el único que me solucion el problema del virus, me arregló la opción de archivos y carpetas ocultos, me permitio usar Ctrl+Alt+Supr, me permitio entrar a Regedit, entre otras cosas (una maravilla).
     
  5. quenzo

    quenzo Miembro nuevo

    Registro:
    20 Set 2007
    Mensajes:
    15
    Likes:
    0
    Kaspersky es buenazo pero te cuesta el original 200 soles y el pirata su liciencia ya esta en la lista negra del kaspersky osea no puedes actualizarlo
     
  6. Goku

    Goku Miembro de bronce

    Registro:
    23 Set 2006
    Mensajes:
    1,646
    Likes:
    86
    Por lo que veo los antivirus ya están detectando esta amenaza. Al menos en el Instituto parecen haber inmunizado al bichito éste }:)

    Si es que vuelvo a infectarme copiaré los pasos para eliminarlo manualmente, resultó ser fácil el proceso :yeah:

    Y es cierto, el Kaspersky Antivirus es, para mí, el mejor antivirus del mercado para Windows.
     
  7. anonimonosesabe

    anonimonosesabe Miembro nuevo

    Registro:
    11 Ene 2008
    Mensajes:
    2
    Likes:
    0
    En relación con el Proyecto Libertad (Pasalavoz)

    Hola a todos les habla el Autor del Proyecto " Libertad " ó como más se ha hecho conocido PASALAVOZ :
    CUANDO VI A UN COMPAÑERO DE ESTUDIOS BUSCANDO INFORMACION SOBRE ÉL, ME DIO CURIOSIDAD Y NOTE QUE MI PROYECTO HA LLEGADO MUY LEJOS DE DONDE SE ORIGINO, SIN QUERER SE HA ADJUDICADO EL NOMBRE DE "VIRUS", POR AUTOCOPIARSE SIN PERMISO DEL USUARIO Y POR RESISTIRSE A SER ELIMINADO, PERO DEJENME DECIRLES QUE NO ES UN VIRUS :stop:,ESTE PROYECTO SOLO TUVO COMO FINALIDAD, FORMAR UNA COMUNIDAD DE JOVENES QUE TENGAN TODOS EN COMÚN UNA SOLA META, VOLVER A ESTE PAIS, (Perú) EL PRIMER LUGAR CON MÁS CANTIDAD Y DESARROLLO DE SOFTWARE, Y ESO GRACIAS A LA CREATIVIDAD DE LOS PERUANOS.
    ES, POR ESO QUE LES VUELVO A REPETIR, NO ES UN VIRUS, DE ALLI CABE QUE LOS ANTIVIRUS NO LO DETECTEN COMO TAL.
    ESTE PROYECTO FUE ANALIZADO HASTA EN EL MÁS MINIMO DETALLE PARA QUE NO INTERFIERA CON LOS PROCESOS DE LAS PC, ASÍ QUE SI PRESENTAN ALGUNA ANOMALIA EN LOS PROGRAMAS, NO ES CULPA DE ESTE PROYECTO, EXISTEN DISTINTOS PROGRAMAS (VIRUS) QUE POR EL SIMPLE GUSTO DE FASTIDIAR, ALTERAN CONFIGURACIONES EN LA PC, PARA SU MAL FUNCIONAMIENTO, ESTE PROYECTO NO HACE ESTO.
    EL PROYECTO LIBERTAR (POR SER LIBRE PARA EL PUBLICO INTERESADO)
    ES MUY SENCILLO DE QUITAR DE LAS PCS.
    BUENO ESO ES TODO, ATTE. UN JOVEN PERUANO DE 20 AÑOS DE EDAD Y RECUERDEN, PASEN LA VOZ DE ESTE NUEVO PROYECTO
     
  8. PlaXma

    PlaXma Miembro frecuente

    Registro:
    22 Feb 2007
    Mensajes:
    201
    Likes:
    0
    Hola, desde que el archivo se autocopia sin permiso del usuario y se niega a ser eliminado, ya creo que carga el apelativo de viral y aunque no haga daño, sabes que jode.

    Si dices que es facil de quitar de las pc's, porque no cuentas cual es el metodo oficial?

    Saludos.
     
  9. Dark_Hero

    Dark_Hero Miembro frecuente

    Registro:
    15 Nov 2007
    Mensajes:
    200
    Likes:
    1
    segun lo veo yo es un virus... tengo el virus en una carpeta comprimida (ya que el McAfee 8.5 lo detecta como tal solo que la raiz no es eliminada solo el proceso) luego instale un S.O. desde cero (no realize clonacion) sin antivirus, instale el virus los resultados fueron; lentitud, ventanas del windows intercambiadas mientras uno escribe o ejecuta algo, molestos avisos (denominados malware) son los principales...

    La PC con la que probe este ¨Virus¨ fue una HP dc7700 con el software basico, por ultimo hice lo mismo con otra PC igual a esta pero no le instale el Pasalavoz y va de maravilla, hasta le instale el crysis y no se puso lenta (claro el juego con una PC asi se pone lenteja ¨MSI 7600¨) y remate a esta pobre maquina con el Pinnacle 11 y aun asi estaba mas rapida que la primera, en conclusion este si programita si se le puede decir virus... o no?
     
  10. Goku

    Goku Miembro de bronce

    Registro:
    23 Set 2006
    Mensajes:
    1,646
    Likes:
    86
    ¿Estamos hablando entonces de que este virus se desarrolló y difundió desde Cibertec? :( Lo digo porque fue allí donde lo noté por primera vez y desde entonces comenzó a autoreplicarse mediante los dispositivos de almacenamiento externo USB.

    Un software que posea la capacidad de autoreplicarse y se proteja a sí mismo ya tiene un comportamiento similar al de un virus. En todo caso, para mí entraría en esta clasificación, otra cosa muy distinta es que no tenga asociado algún payload. Por otro lado, respecto a que los antivirus no lo detecten como un virus, no creo que sea del todo acertado puesto que a estas alturas ya varios antivirus del mundo lo detectan, no me he fijado bien como qué tipo de amenaza lo marcan, pero de que lo detectan; lo detectan.

    Adicionalmente, junto a éste virus según he podido notar (a primera vista) se difunde un software ad-ware que lanza ventanas emergentes 'pop-ups'
    con una fotografía de Machu Picchu. Pienso que no es la mejor manera de promocionar nuestros recursos turísticos.

    ¡Saludos! :)
     
  11. Dark_Hero

    Dark_Hero Miembro frecuente

    Registro:
    15 Nov 2007
    Mensajes:
    200
    Likes:
    1
    totalmente de acuerdo contigo jscieza, parece que nuestro ¨amigo¨ anonimusnosabe en realidad no sabe desarrollar software y ensima con la imagen de Machu Picchu... que verguenza para los peruanos...
     
  12. Edgar

    Edgar Miembro frecuente

    Registro:
    14 Oct 2006
    Mensajes:
    207
    Likes:
    1
    Bueno yo soy autor del Proyecto Esclavitud y no es virus, lo juro!


    ...ojalá y me crean ambas mentiras :D
     
  13. 666cuervo666

    666cuervo666 Miembro de bronce

    Registro:
    22 Feb 2007
    Mensajes:
    1,122
    Likes:
    96
    justo hoy use mi usb en la U, y ya se agrego este bichito.....y como se que ya esta en mi usb que debo hacer para no infectar mi pc.....hay manera que desinfectar antes de usar mi usb ...o no?
    y por lo que lei...sino es un virus...que se supone que es....dice un proyecto, pero para que ......solo con la promocion de Machu picchu :(
     
    Última edición: 15 Ene 2008
  14. star

    star Miembro nuevo

    Registro:
    25 Ene 2008
    Mensajes:
    1
    Likes:
    0
    Hola a todos, soy nuevo en esto aunque lamentablemente no en cuanto a recibir virus. Este virus es una modificación de otro del cual no recuerdo el nombre.
    El virus en mención me parece que infecta a la computadora de tal manera que cualquier USB que se conecte a ella inmediatamente recibirá el programa de virus y se clonaran todas sus carpetas a modo de aplicaciones, por ejemplo si tienes la carpeta starwars en tu USB, dentro de esa carpeta aparecerá un archivo llamado starwars que mide 211 kb, lo mismo sucederá con todas las carpetas durante el tiempo que permanezca conectado el USB.
    Yo lo eliminé de la siguiente manera:
    Saqué mi USB, la llevé a otra computadora sin este virus, luego ubiqué el archivo pasalavoz.exe y lo borré, posteriormente activé el programa "buscar" de Windows.
    Dejè en blanco el primer formulario que corresponde a nombre de archivo, en busqueda avanzada escogì "buscar aplicaciòn" me salieron las pocas aplicaciones de mi USB pero tambien las todas las duplicaciones, en la barra respectiva tecleè "tamaño" y salieron en fila todos los archivos que median 211 kb y los borré. Fin de pasalavoz.

    Espero que les sirva mi experiencia.
     
  15. 666cuervo666

    666cuervo666 Miembro de bronce

    Registro:
    22 Feb 2007
    Mensajes:
    1,122
    Likes:
    96
    buen dato .....habra que porbarlo.......se te agradece:yeah::yeah::yeah:
     
  16. jimmybardalez

    jimmybardalez Miembro maestro

    Registro:
    6 Mar 2007
    Mensajes:
    298
    Likes:
    2
    Oe brother juegate el virus para mi colección pe, oye y con que analisis determinaste que esta programado en Visual Basic, jajaja , y ¿que version de visual ah? XDDD
     
  17. ShAoraN

    ShAoraN Miembro frecuente

    Registro:
    9 Ene 2008
    Mensajes:
    51
    Likes:
    0
    Gracias por la informacion ahora ya se q hacer si se mete el virus en MI USB :D
     
  18. Goku

    Goku Miembro de bronce

    Registro:
    23 Set 2006
    Mensajes:
    1,646
    Likes:
    86
    Ya lo borré :oops:

    Pero este miércoles que vaya a Cibertec le hago una copia, por allá en la partición "Diseño Web" aún sigue el virus (parece que le han agarrado cariño los de Soporte de Carreras y Help Desk porque lo dejan allí como si nada ¬¬).

    Antes, recuerdo que abriendo los archivos ejecutables con un simple editor de texto podías determinar el lenguaje de programación que fue usado para su desarrollo. Por ejemplo, las aplicaciones desarrolladas en Delphi incluían una cadena que decía "Delphi" o algo así, lo mismo con el caso de VB, además de incluir rutas a librerías conocidas de éste último.

    Pero en esta oportunidad me di cuenta que estaba programado en VB porque algunos antivirus lo detectan como VB/Generic :D
     
  19. Dark_Hero

    Dark_Hero Miembro frecuente

    Registro:
    15 Nov 2007
    Mensajes:
    200
    Likes:
    1
    ese virus no tiene efecto en ¨Modo A Prueba de Fallos¨ asi que facil rescatan su Data y luego lo formatean (algo sencillo) :D
     
  20. MijT

    MijT Miembro de bronce

    Registro:
    12 Oct 2006
    Mensajes:
    1,106
    Likes:
    63
    Aquí en mi trabajo, una de las implementadoras de sistemas trajo su memoria USB infectada con ese dichoso virus, todas las PCs de la Empresa usan NOD32(no sé qué tendrán en la cabeza mis compañeros del área de Soporte Técnico) en ninguna fue detectado, salvo en una de ellas que decía haberlo eliminado, pero no, no lo hizo, conecté la memoria a mi PC que es la única que usa el Kaspersky(el papá de los antivirus) y lo eliminó.

    Modestia aparte, la computadora en la que trabajo es la única que no causa problemas.