AMVO, XMG y PSW.onlinegames

r3cicl4do · Mensajepor **r3cicl4do** » Sab Abr 26, 2008 7:20 pm

Alguien ha oido hablar de los malwares amvo.exe, xmg.exe y PSW.OnlineGames.noseke ??? (Slash clamo tu presencia xD)

Pues me he topado con ellos en el trabajo y/o casa y debo decir que son molestos, aunk creo q deben tener algo en comun(talvez sea el mismo bicho con diferentes nombres).

De lo que averigue hay:

google escribió:XMG.EXE
What we know about XMG.EXE:
The filename XMG.EXE was first seen on Apr 13 2008 in SPAIN. It has also been seen in the following geographical regions of the Prevx community:
INDIA on Apr 25 2008 URUGUAY on Apr 24 2008 PAKISTAN on Apr 24 2008 The UNITED KINGDOM on Apr 16 2008 The filename XMG.EXE refers to many versions of an executable program.
The most common file size is 104,161 bytes. But the following file sizes have also been seen:
102,822 bytes 102,316 bytes 101,683 bytes The filename is associated with the malware group KAVKOP:Trojan-A.Some files using the name XMG.EXE are also associated with the malware group:
PSW.OnlineGames.AO These files have no vendor, product or version information specified in the file header.
XMG.EXE has been seen to perform the following behavior(s):
The Process is packed and/or encrypted using a software packing process This Process Creates Other Processes On Disk This Process Deletes Other Processes From Disk The Process is polymorphic and can change its structure Loads and Executes a System Driver File Executes a Process Adds a Registry Key (RUN) to auto start Programs on system start up Writes to another Process's Virtual Memory (Process Hijacking) Registers a Dynamic Link Library File XMG.EXE has been the subject of the following behavior(s):
Added as a Registry auto start to load Program on Boot up Executed as a Process Copied to multiple locations on the system Deleted as a process from disk Created as a process on disk Registered as a Dynamic Link Library File Terminated as a Process Has code inserted into its Virtual Memory space by other programs XMG.EXE can also use the following file names:
AMVO.EXE 1DG.EXE DPTREM~1.EXE 08968319.DAT 93191732.EXE LKXCQDB.BAT 60010611.EXE DPTREE~1.EXE 51404054.BAT 97662946.BAT 45998443.DAT 76520092.SVD DPTRMP~1.EXE 8DE.BAT 2A095902504C0A2D54766E40E2250C62.EXE 32478865.BAT OWTO86K.EXE 74873154.SVD DPTRESQYHV-703.PMS.EXE DPTRES~1.EXE
Virus, Spyware & Malware Center

Si no lo entienden traduzcan con google xDD

Se que este(o estos) malware, spyware, troyano o lo que sea ware...(yo le digo "bicho") se transmiten principalmente por usb (pen drive) y es uno de los mas comunes en Windows.

En el caso de XMG.exe y Amvo.exe su caracteristica principal es que aparece SIEMPRE al cargar el PC un mensaje que dice masomenos:
"la instruccion en memoria "0x10011fd8" hace referencia a la instruccion "0x78c2a223". La instruccion no se puede "read" " o mensajes similares (cambia el numero raro ese).

Y el PSW.onlinegames es detectado frecuentemente por el NOD32 haciendo muchas infecciones en disco local. No se si provenga de paginas de juegos o de usbs infectadas, pero tengo sospechas.

En el caso del amvo, encontre la solucion con este script visual basic:
http://www.mediafire.com/?dcmscmbdhim

Advierto que no estoy 100% seguro de que este componente haga lo que dice, pero lamenos hizo que desapareciera tod señal del amvo.exe. Tambien lo scanee con un par de herramientas y parece que esta limpio, pero todavia no estoy 100% seguro. Si alguien conoce este script o sabe algo seria genial.

Ah si, algo más un apregunta mia mas que nada: ¿siempre me he topado con los benditos "AUTORUN.INF" y quisiera saber si todos son malignos o hay algunos que no deban borrarse?

Ojalá los mas avezados se pase por aca para dar las debidas recomendaciones. Por lo pronto mi post servira al menos como alerta inicial.

[~ShiroSwan~] · Mensajepor **[~ShiroSwan~]** » Sab Abr 26, 2008 8:15 pm

vamos a eliminar 1ero el PSW.OnlineGames

:arrow:

Lee y realiza lo que dice este tema

Código: Seleccionar todo

http://www.forospyware.com/408993-post9.html

Nota: Cuando ejecutes el Flash_Disinfector;
Con los dispositivos USB desconectados, ejecuta Flash_Disinfector.

Luego conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecutas Flash_Disinfector de nuevo.

:arrow:

leete el manual de Kaspersky online

Código: Seleccionar todo

http://www.forospyware.com/t55793.html

Al terminar pegas el reporte de Kaspersky online para revisarlo.

________________________________________________
Primero eliminaremos este (puede ser la raiz de los demas bichos)

r3cicl4do · Mensajepor **r3cicl4do** » Sab Abr 26, 2008 9:00 pm

Como soy un asiduo a forospyware ese protocolo me lo sabia casi de memoria xD
Ya lo hice todo salvo lo del kaspersky online ya que por experiencia propia se que demora cerca de 3horas en scanear mis 240 Gb y ya es de noche, queda para mañana...
NOTA: Si el flashdetector salta de frente al mensaje de "Fin!" sin decir nada mas quiere decir que esta limpio no?

Algo que olvide mencionar es que el PSW.OnlineGames aparente mente no esta en la computadora de mi casa puesto que le hice los mismos escaneos que en la de mi trabajo y no detecto NADA, de hecho es probable que este limpio(pero la de mi trabajo es otro cantar....)

Como quiero sacarme el clavo dire el nombre de la pagina que mas he usado ultimamente: managerzone (no pongo la url completa xq podrian interpretarlo como spam).
Sin embargo alla en el trabajo, la gente mete y saca sus pendrive casi a diario, lo que pienso yo podria ser el verdadero origen(eso explicaria xq en mi casa no noto infecciones y alla si).

De todos modos mañana terminare el analisis y te dare una respuesta slash, gracias de todos modos.

Salu2.

[~ShiroSwan~] · Mensajepor **[~ShiroSwan~]** » Sab Abr 26, 2008 9:07 pm

de todas formas pasas el analisis

_______________________________
en forospyware usamos ese protocolo xD

fuese mas facil aplicarlo aqui

si math activara otras opciones "bbcode"

como
xD
_______________________________

r3cicl4do · Mensajepor **r3cicl4do** » Dom Abr 27, 2008 2:12 pm

Ahita el log de kaspersky
Uff que cosa, no tengo mas tiempo, lo tuve cancelar al 82% xq ya no aguantaba mas y la vdd no creo q este infectada, bien supongo q esta limpio:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Sunday, April 27, 2008 3:00:19 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 27/04/2008
Kaspersky Anti-Virus database records: 727671
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 106104
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 01:56:10

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT Object is locked skipped
C:\WINDOWS\system32\config\OSession.evt Object is locked skipped
C:\WINDOWS\system32\config\ODiag.evt Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\vaxscsi.sys Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_56c.dat Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Temp\Perflib_Perfdata_254.dat Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\NTUSER.DAT.LOG Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\XUL.mfl Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\history.dat Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\flashgot.log Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\cert8.db Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\key3.db Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\search.sqlite Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\parent.lock Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\GoogleToolbarData\googlesafebrowsing.db Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\Datos de programa\Mozilla\Firefox\Profiles\i420bqjj.default\formhistory.dat Object is locked skipped
C:\Documents and Settings\Alejandro Garcia\ntuser.dat Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\log_358.trc Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\mastlog.ldf Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdbdata.mdf Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\msdblog.ldf Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\model.mdf Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\modellog.ldf Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\tempdb.mdf Object is locked skipped
C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Data\templog.ldf Object is locked skipped
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-04-27.10-41-17.log Object is locked skipped

Scan was interrupted by user!

[~ShiroSwan~] · Mensajepor **[~ShiroSwan~]** » Jue May 01, 2008 11:05 am

aver , pssss te sugiero pasarte
super antispyware
en modo "escaneo completo"

analiza:
Archivos-
Registro
memoria de arranque
externas ..etc xD

En fin pasale ese programa xD

AHH

recuerda

cuando lo pases

tienes que estar en el modo a prueba de fallos..