Archive for the ‘Virus’ Category

Analizar nuestra web o blog en busca de virus (Antivirus para paginas web)

antivirus

El malware en una web es una terrible carta de presentación para los visitantes, por ese motivo este tiene que ser detectado cuanto antes y así ponerle un alto.

En internet se encuentran herramientas bastante útiles, actúan como antivirus para web al momento de escanear.  Para esta tarea veremos a continuación siete páginas que nos permiten examinar una web con solo ingresar su url:

  1. Norton Safe Web: Norton es una de las empresas con mayor trayectoria en el mercado de antivirus y recursos de seguridad informática, y desde esta página nos permitirá examinar un sitio web.
  2. Trend Micro Site Safety Center: Trend Micro es una reconocida empresa japonesa de seguridad informática.
  3. AVG Online Web Page Scanner:  Conocida por ser una empresa que ofrece antivirus para Linux y no solo para Windows.
  4. Dr.Web Online: En una ventana emergente muestra varios detalles y comportamientos sospechosos de la web examinada. Se dice que su versión de antivirus es una de las mas usadas en Rusia.
  5. Sucuri SiteCheck: Es una nueva alternativa que se a especializado en los servicios de seguridad para páginas web.
  6. Online Link Scan:  Revisa en la lista negra de Google entre otros servicios de análisis de comportamiento sospechoso.
  7. URL Void: Para resumirlo en una palabra, la mejor alternativa, hará búsqueda en servicios como Trend Micro, Dr.Web, AVG, Avira, Bit Defender, entre muchos otros que nos mantendrán al tanto de el estado de el sitio examinado.

Fuente: http://tuportalwebmaster.blogspot.com.es/2013/10/analizar-web-en-busca-de-virus.html

Comparte:

    Problema de malware en mur3.com, un caso extraño

    virus

    Hace unos dias me comenta un lector que el NOD32 le marcaba como virus el fichero favicon.ico. Curioso, teniendo en cuenta que hace relativamente poco que cambie de hosting y los ficheros pasaron todos por varios filtros en varias ocasiones y en ningun momento levantaron sospechas de nada.

    El report del analisis lo podeis ver aqui: https://www.virustotal.com/es/url/f3b8ddb5f59e1cbdb1c71cec1cf3fdf5702ea451d55f71736ee50b2b3a1fe5e2/analysis/1390430350/

    3 de los 51 motores usados macan el fichero como malware, sin embargo, ninguno marca la direccion www.mur3.com como sitio sospechoso.

    Read more »

    Comparte:

      how to repair.txt, ficheros cifrados con RSA y extension .done, imposibles de descrifrar

      Me llega el siguiente email solicitando ayuda sobre un tema ya tratado en el blog:

      Buenos días,

      He visto tu blog en el que ofreces una solución para ficheros infectados con virus de la policía ransonware con locked y me ha parecido muy interesante.
      Tengo recuperar unos ficheros infectados (pfd, doc, jpg, xls) encriptados y con la extensión .done, como el adjunto.
      Me ha llegado también el adjunto “how to repair” en el que el hacker ofrece sus servicios.
      Espero puedas decirme si la solución que ofreces en tu blog es valida para este caso o si tienes alguna otra.

      Gracias.

      Un cordial saludo.

      El compañero se refiere a esta entrada en donde se indica como desencriptar los ficheros con -locked

       

      El txt adjunto contiene el siguiente texto:

       

      If you reading this,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with military cifer.
      Nobody can help you restore  files without our decoder.
      If you want recover files,
      send e-mail to the repairmyfile@tormail.org WITH “how to repair.txt” and 1-2 encrypted files less than 1MB . After checking you will receive the decrypted files and our conditions how you’ll get the decoder . Follow the instructions to transfer payment.

      ====================
      1C20864DF3054BD59ADB52DE831873CEF3177C59C83E5CDB97962F5FA178E88A
      953715B24C388916C42D7975C40A45B4AE78FA685EAFE1D201F9A6DF9F0A3331
      B0A1352CC555D3DD06FC4B99E980507E7396040A1AA864486BB8DCB6B0F3CDB6
      3FB11886D24FED7B88D1F530275123259A4BAEDFC23B0C3A49E4B33E32C80A1E
      15757E7F749030D83800F0E058C85050D830D8D8906010387028C0201838F838
      ====================

       

      Bueno, interesante, el fichero adjunto.xls.done, que me envian en el correo, se puede eliminar la extension .done, y te queda un .xls a medias de cifrar, veamos que sacamos en claro.

      Empiezo la busqueda por Google, en principio es una variante del famoso RANSONWARE (virus de la policia), que nos deja algunos ficheros, no todos, encriptados con la extension .done al final, en cada carpeta donde exista un fichero .done, tenemos el how to repair.txt, tambien ha aparecido en escritorio, con las instrucciones para desencriptar los ficheros.

      Lo primero que me encuentro son malas noticias, en forospyware me encuentro con la siguiente nota de los administradores sobre el tema a fecha 22.02.2013 ->

      Originalmente publicado por ElPiedra

      Hola a todos,
      Es muy importante que consideren que el pago del rescate no garantiza que obtendrá nada a cambio, nadie le dará la seguridad de que una vez pagado, los archivos se descifran, aunque son varios los que reportaron que pagaron para obtener nuevamente sus archivos con éxito.
      Lamentablemente todas las muestras que analizamos de este Ransom.DONE, se encripta los archivos con RSA, un algoritmo prácticamente imposible de crakear…
      Debido a la forma en que los archivos están cifrados, la decodificación de los archivos sin contar con la clave de descifrado no es posible, la clave de descifrado se almacena en un servidor remoto, no en el equipo infectado.
      En otras palabras, a diferencia de otras variantes similares como el Ransom.Block la cual si se pueden desencriptar los archivos si se cuenta con los archivos clave…
      En este caso al ser con RSA y tener la clave en un servidor remoto de los ciberdelincuentes, es imposible recuperar los archivos .done
      La recomendación como siempre es la prevención y tal vez dentro de lo más importante de esta es realizar copias de seguridad (backups) de forma periódica y en unidades externas para que no se vean afectadas en caso de una infección y de donde se pueda volver a disponer de toda la data nuevamente.

      Parece que el asunto no es ninguna broma, y si leemos por foros especializados sobre el tema, vemos que hay gente que ha pagado la cantidad indicada para que se le enviara la herramienta para desencriptar los ficheros.

      Hasta el momento, no existe herramienta, ni software, ni metodo para recuperar archivos encriptados con la extension *.done.

      Comparte:

        Eliminar Virus de la Policia (Ransonware) y descrinptar todos los ficheros “locked-” del equipo aunque no tengas el fichero original desencriptado, funciona 100%

        Este famoso virus que esta azotando toda la geografia española es, posiblemente, el peor virus ante el que me he enfrenado en todos los años que llevo dedicandome a este mundo de la informatica.

        Si quereis saber mas sobre la cronologia, lo que hace y como lo hace, podeis visitar el fantastico blog de infospyware en donde se detalla la evolucion de este virus, alli tambien encontrareis la guia original para eliminar el virus, tanto si podeis entrar en modo seguro F8 para ejecutar el Polifix 2.0.3 como sino, haciendo uso de un Live CD de Avira o Kaspersky para realizar la desinfeccion.

        Ahora voy a deciros como hago yo para dejar el equipo en perfecto estado tras una infeccion de este calibre y sin poder entrar en modo seguro F8 y teniendo miles de archivos encriptados con el famoso prefijo locked-nombrearchivo.extensionaleotoria que tantos quebraderos de cabeza estan dando.

        Sigue esta guia paso a paso, necesitaras descargas varios ficheros por lo que es recomendable que imprimas esto y te organices antes de ir al equipo infectado o de conectarlo. Necesitas una memoria USB limpia para guardar los ficheros que te voy diciendo:

        1.- Descargar Kaspersky Rescue Disk 10, es una imagen *.ISO, la descargais y la grabais en un CD/DVD
        2.- Descargar Polifix 2.0.3, es el programa creado por Infospyware para desinfectar el equipo una vez podamos accder al escritorio, guardarlo en un lapiz usb
        3.- Descargar RannohDecryptor.exe de la web oficial de Kaspersky, es el programa que te desencriptara los ficheros locked- de tu equipo, guardalo en un lapiz usb
        4.- Descarga este fichero y descomprimelo, es una imagen de muestra localizada en C:\Documents and Settings\tuusuario\Mis imagenes\Imagenes de muestra\invierno.jpg, este sera el fichero original desencriptado que usara el RannohDecrytor.exe para desencryptar TODOS los ficheros del equipo infectado comparandolo con el encriptado. Descargalo, descomprimelo y guardalo en tu lapiz USB como invierno.jpg

        Ya tienes todo el material necesario, ahora continua leyendo:

        1.- Mete el CD/DVD de Kaspersky Rescue Disk 10 en el equipo infectado y arrancalo, tienes que seleccionar la unidad CD/DVD para esto, sino sabes como, busca por internet como hacer esto segun la marca y tipo de tu BIOS.


        2.- Una vez arrancado el CD, pulsa una tecla para entrar en el menu, selecciona el modo grafico, se cargara un escritorio de Linux con varios iconos, no toques nada aun, deja que cargue completamente y saltara el programa de escaneo automaticamente. Una vez lo tengas en pantalla, es recomendable que actualices la base de datos, yo lo hago siempre.


        3.- Despues de actualizar la base de datos, dale para que inicie el escaneo, tarda entre 15 y 30 minutos en realizar las operaciones, limpiar, desinfectar, etc. Si te pregunta que quieres hacer con las infecciones detectadas o los archivos infectados, dale SIEMPRE a eliminar, son los ficheros de Java que te jodieron. Elimina todo lo que diga.

        4.- Una vez que acabe, reinicia el equipo y saca el cd, deja que el sistema cargue con normalidad, deberia de entrar en el escritorio de forma normal.
        5.- Ahora mete el lapiz USB en el cual tienes todas las aplicaciones que descargaste anteriormente.
        6.- Vamos a ejecutar el programa Polifix 2.0.3 para eliminar todo rastro del virus, para ello, abre una ventana de comandos Inicio-> Ejecutar -> CMD y pulsa Intro
        7.- Dirigite a tu lapiz USB tecleando la letra correspondiente, en mi caso F: Intro
        8.- Escribe polifix.exe y aparecera la siguiente ventana:


        Deja que actue, cuando acabe se reiniciara solo y tu equipo quedara limpio de todo rastro del virus.

        – DESBLOQUEO DE FICHEROS locked –

        Ahora llega la parte interesante del tema, desbloquear todos los ficheros encriptados que tenemos en el equipo. Para ello, haremos lo siguiente:

        1.- Ejecuta el programa rannohdecryptor.exe que has descargado anteriormente.

        2.- Pincha en Change parameters y selecciona la opcion de Detele Crypted files after decryption, lo que nos borrara los ficheros encriptados despues del desbloqueo para evitar tener un monton de ficheros duplicados e inservibles.

        3.- Pulsa en “Start scan”, nos aparecera una ventana indicando que tenemos que indicarle al programa donde esta un fichero original que NO ESTE ENCRIPTADO y seguidamente el mismo fichero pero ENCRIPTADO por el virus.

        ATENCION: Si al pulsar en “Start scan” no os pide la localizacion de los ficheros, no continueis ejecutanto el rannohdecryptor.exe. Eridea nos informa de que esto le ha causado graves perdidas de informacion. Al ejecutar el programa, os tiene que pedir los ficheros, tanto el original como el bloqueado, sino no funcionara correctamente y podeis destruir la informacion del equipo.


        Pulsamos en continuar y buscamos el fichero invierno.jpg que habiamos descargado a nuestro lapiz USB, al darle a aceptar, automaticamente nos pedira la ruta de ese mismo fichero pero encriptado, esta ubicado en C:\Documents and settings\tuusuario\Mis Documentos\Mis imagenes\imagenes de muestra\locked-invierno.jpg.extensionaleatorioa, al seleccionarlo iniciaremos el desbloqueo de todos los ficheros de nuestro equipo, el tiempo que tarde dependera de la cantidad de informacion y ficheros encriptados que tengamos, el resultado deberia ser algo como esto:

        Despues de esto, tu equipo esta limpio de virus y con los ficheros desbloqueados. Ya puedes respirar tranquilo.

        – NOTAS IMPORTANTES –

        .- La imagen invierno.jpg es una imagen de muestra que viene por defecto en todas las instalaciones de Windows XP, por lo que sino la has borrado, deberia de estar bloqueada y localizada en la ruta original. Deberia de servir cualquier fichero de Windows XP que puedas conseguir y que tengas bloqueado en tu equipo para poder realizar la comparacion, bien una imagen de muestra, un fichero de audio de windows, cualquier cosa. Lo mismo para Windows 7. Invierno.jpg es solo un ejemplo de como hacerlo.

        .- Mucha gente usa el Avira Rescue CD, yo en los dos casos que lo use NO ME FUNCIONO, por eso esta guia esta basada en el Kaspersky Rescue Disk 10 que si se que funciona.

        .- Despues de seguir estos pasos y tener tu equipo limpio, es recomdable hacer una pasada con el Dr.Web Cure It y CCleaner, para eliminar posibles “amigos”. Tambien es recomendable instalar la ultima version de Java 7 disponible ya que por culpa de una vulnerabilidad de Java 6  tu equipo ha sido infectado por este virus.

        .- La ultima recomendacion que os hago, es que tengais un sistema de backup mas o menos regular, por si alguna vez no se pueden recuperar los ficheros por este u otro virus que un futuro nos entren, que no sera la primera ni la ultima vez. Por favor, hacer copias de la documentacion importante de vuestros equipos.

        .- Dudas, preguntas, insultos y donativos, a los comentarios de este post y os ayudare en todo lo que este en mi mano.

        Comparte:

          Como eliminar el virus/troyano de la doble tilde


          Si has llegado hasta aqui es para eliminar este molesto troyano que nos pone dos tildes al escribir en vez de una. Teneis mucha mas informacion en infospyware.com, tanto del propio troyano como de lo que hace y de como eliminarlo de una forma mucho mas “profesional”. Pero yo lo he conseguido simplemente ejecutando y siguiendo las instrucciones de la aplicacion DT-Kill, que podeis descargar en el link al final del post.

          Lo unico que voy a aportar aqui, con permiso de los creadores del software DT-Kill, es un mirror para descargar directamente el programa de eliminacion de troyano para tenerlo siempre disponible.

          Visitar la web infospyware.com para mas info.

          Link directo para descarga de DT-Kill

          Comparte: