lunes, noviembre 19, 2007

IEDefender: El troyano zlob



Me he pasado la mitad larga del fin de semana batallando con un troyano cual homérico personaje. La cosa empezó con una sugerente llamada de auxilio de Cris:
Popeye, Popeye, sálvame Lek, tienes que venir a mi casa, tenemos un troyano.
No sé cómo entró, aunque me huelo que alguna instalación de algo, junto a la ejecución de un crack, pueden tener algo que ver. Ni el AVG (¿por fin tienen página en español?) ni ninguno de los demás sistemas habían dicho esta boca es mía, así que el bicho se encontraba como en casa... y decidió presentarse a la familia:
Su ordenador parece estar infectado por el zlob.X, descárguese el IEDefender blablabla
Yo, que soy muy burro, lo he hecho por el método largo. Busqué Zlob.X y llegué a una pregunta de Yahoo! Answers donde le dicen al tío que se baje el spynomore... descargo, instalo y me detecta el fichero regscan.exe. A la hora de limpiar, ajajá, talegada o te lo comes. Bien... paso el fichero a VirusTotal y lo detectan 8 de 32 motores antivirus, ninguno de los cuales es de los que podemos llamar principales.

Segundo intento. Escáner online de Kaspersky. Encuentra un segundo fichero, PowerVideo.dll, y pide una nueva talegada. Este fichero no lo reconoce casi ninguno. Paso el escáner online de Panda, que me encuentra un montón de basura, ignora al virus y pide una nueva talegada para desinfectar.

Así que siguiendo las directrices lógicas marcadas por VirusTotal, descargo, instalo y escaneo con el Antivir y a la primera encuentra, destruye y pisotea la amenaza. Por último pasé el RegSeeker para dejar el registro como una patena.

Como las cosas se saben mejor una vez que ya han pasado, si alguna vez os encontráis en la misma tesitura también podéis probar con lo que dicen en los foros de Lavasoft.

En concluyendo, que para un defensor acérrimo del AVG como yo ha sido un fin de semana muy duro :( Y como esto se alarga, pondré en otro post, y otro momento, mis opiniones sobre la forma de actuar de esos trileros de la seguridad...

Etiquetas: , ,

15 Comentarios:

Anonymous Anónimo ha dicho...

Yo en el windows siempre utilizo la combinación Antivir + Zonealarm.

Y como utilizo Windows cuando quiero jugar no se suelen colar muchas cositas...

10:27 p. m.  
Anonymous Anónimo ha dicho...

También está la opción de usar Windows con una cuenta que no sea de administrador.

Me apuesto lo que sea a que la mayoría de personas que tienen Windows y Linux, y que despotrican de la seguridad de Windows, usan cuentas de usuario en Linux y cuentas de administradores en Windows, a pesar de que, en principio, es más peligroso hacer eso en Windows que en Linux.

9:42 a. m.  
Blogger Lek ha dicho...

Troxer, yo en casa configuré a mis hermanos cuentas de usuario, teniendo yo sólo la de administrador, y tuve que acabar cediendo porque no era posible que llegaran a navegar... reconozco que puede ser problema mío, pero era un absoluto infierno.

3:41 p. m.  
Anonymous Anónimo ha dicho...

Pues yo lo tengo así en el portátil, y no tengo ningún problema de navegación.

Reconozco que es un poco coñazo, especialmente la primera semana en la que instalas todas las aplicaciones y demás, pero para el día a día no lo veo infernal.

Y ya con el Windows Vista, realmente es mucho más cómodo. A pesar de que la gente se queje de la UAC, lo hacen aquellos que nunca usaron una cuenta de usuario en XP. Gracias a la UAC no tienes que andar cambiándote a la cuenta de admin para cosas tan tontas como reparar la conexión wifi, que era un verdadero engorro en XP.

9:51 a. m.  
Anonymous Anónimo ha dicho...

Hola! Estoy sufriendo el ataque de este troyano y de verdad que no sé qué hacer para eliminarlo de mi portátil. Me he guiado de las instrucciones dejadas: me descargué el antivir el cual me lo detectó y lo envió a cuarentena y lo eliminé, también he descargado el regseeker que la verdad no sé utilizar muy bien pero sigo con el problema que ocasiona este troyano. Por favor pido si podeis explicar mas exactamente que pasos realizar para que mi portátil vuelva a ser el de antes, dado que soy una usuaria normal,nada experta en temas informáticos. Me desenvuelvo pero bueno...espero me podais ayudar cuanto antes, muchas gracias!!

2:07 a. m.  
Blogger Lek ha dicho...

Anónima, supongo que tu problema será por la restauración del sistema... mira a ver en este enlace si te sirve de algo :)

9:14 a. m.  
Anonymous Anónimo ha dicho...

Vamos a ver..es que yo lo único que he hecho es descargar e instalar el antivirus y ejecutarlo, dando como resultado una infección que supuestamente está eliminada. De resto, nada más, supongo que debo hacer algo mas, no? y lo de restaurar el sistema no te entiendo mucho lek, yo la verdad lo teniía pensado como solución si no conseguía que esto funcionara de nuevo, osea, restaurar el sistema a una semana antes o asi. X cierto, mi nombre es Yaiza, gracias!

12:05 p. m.  
Blogger Lek ha dicho...

Siempre puedes hacerlos por las bravas, Yaiza, busca los ficheros que te he comentado en la carpeta c:\windows\system32 y bórralos. La DLL supongo que no te deje, pero el exe es posible que sí, en cuyo caso prueba a reiniciar y a ver si puedes borrar todo lo demás.

En cuanto al RegSeeker, usarlo es tan fácil como arrancarlo, darle a "registro" (Registry en inglés) y darle a "limpiar" (Clean). Algo así (ahora mismo no tengo uno delante, pero si buscas en google seguro que aparece).

Ah, y también puedes dejar de utilizar Internet Explorer. Prueba Firefox u Opera ;)

2:42 p. m.  
Anonymous Anónimo ha dicho...

Pues el regscan no me aparece en system 32 y el powervideo sí, pero no me deja eliminarlo. Me leí lo que aparece en lavasoft y me descargué el hijackthis, pero tampoco sé utilizarlo mucho la verdad..:S qué hagoo??

9:03 p. m.  
Anonymous Anónimo ha dicho...

Pooor fiiinnn!!! XD he conseguido deshacerme de ese jodío zlob...o eso creo! jeje :p Escaneé con el hijack, seleccioné el archivo powervideo.dll y le dÍ al boton de fix, total que fui a la carpeta de system 32 y ya pude mandarlo a la papelera y dehacerme de él permanentemente. Ya navego correctamente y no noto nada extraño, asi que creo que mi portátil está curado; por lo que Lek darte las gracias por ayudarme a salir de esto, ahora sólo queda instalar el firefox y como antivirus qué me recomiendas? yo utilizaba el avg y ahora está el antivir pero no sé cual dejar fijo.

9:30 p. m.  
Blogger Lek ha dicho...

Pues a la vista de los acontecimientos, yo te recomendaría quedarte con el Antivir, sinceramente. Es un antivirus al que tradicionalmente he tenido cierta manía, pero me ha demostrado ser efectivo cuando ha hecho falta.

Me alegro de que al fin se acabara el problema.

1:53 p. m.  
Anonymous Anónimo ha dicho...

Pues muchas gracias x todo Lek. Ya estrené antivirus (aunque dure 6 meses) y navegador, asi que espero no me entre nada más raro x aqui..tendre mucho cuidado con la mula que fue la causante del contagio. Lo dicho, thank u y saludos!

1:19 a. m.  
Anonymous Anónimo ha dicho...

Hola, solamente agradeceros que os tomeis la molestia de ayudar a gente menos experta en estos temas con estos problemas, yo he sufrido esta infeccion hoy y creo que la he solucionado en una hora más o menos cuando sin vuestra ayuda estaría completamente perdido, muchas gracias y enhorabuena x vuestro trabajo.

5:40 p. m.  
Anonymous Anónimo ha dicho...

Hola chicos pues estoy super estresada con este tema , vosotros sois mi esperanza :(
espero que me ayudeis a solucionar el problema os expilco . . .

No se como ni cuando ni de donde , pero se ve que se me ha metido un troyano zlob es el files-secure , pues cada vez que intento abrir una carpeta o pagina me sale una ventanta supuestamente del sistema informandome de que tengo un virus y que me descargue el antivirus FILES-SECURE y si le das a aceptar directamente entra en la web para descargarlo ,
Lo he intentado casi todo , en el ordenador no encuentro ese fichero ni nada por el estilo , ningun spyware ni nada me lo detectan , supongo que es un archivo oculto ,
intentamos restaurarlo ayer pero ......
no se puede por que no tengo nada guardado para restaurar me ha borrado la memoria :S asi que voy muy perdida por favor si alguien me puede hechar una mano os lo agradeceria , muchas gracias gente

12:16 a. m.  
Blogger Lek ha dicho...

Mi consejo es que te descargues el Antivir y que, si no funciona, revises bien los enlaces del post y de alguno de los comentarios ;)

9:16 a. m.  

Publicar un comentario

<< Principal