Hace poco me llegó un mensaje con el texto típico de transporte de virus: “una tarjeta para usted, bla, bla, bla”.
En este caso el truco era que no había adjunto, sino un link que abría una página de esas del estilo de rapidshare que tenía un archivo llamado “amor.rar”. Obviamente que para cualquier persona con mínima experiencia, eso es un virus, troyano o cualquier otro tipo de código malicioso.
Bien, dije, vamos a probar el antivirus (está actualizado al día), así que le hice clic y lo bajé al escritorio. Nada, ni un alerta. Ok. dije debe ser porque está comprimido. Lo descomprimí y dejé el ejecutable “amor.exe.exe” en el escritorio. Nada. Mi antivirus no dijo ni “mu”.
Así que me puse en campaña: Encontré esta excelente página que recopila las direcciones de correo para enviar virus de las principales casas antivirus, elegí a las de español, comprimí al ejecutable dentro de un zip y se los envíe por email a Sophos, PER antivirus, Panda, Nod32 y a Bitdefender.
Las respuestas por orden de llegada:
Nod32: El archivo adjunto que nos envió contenía una infección provocada por una variante modificada de (Troyano) Win32/Spy.Banker.AHY
Fue la primer respuesta, pero la más preocupante: Tengo el NOD32 instalado y actualizado!
BitDefender: Según nuestro análisis no se trata de ningún virus.
Que miedito, ¿no?. Si me guiara por esa información le podría dar doble-clic… Brrr… Les respondí si esa era su respuesta final porque otras casas antivirus dieron positivo en el análisis. Veremos que dicen.
PER Antivirus: Ya esta disponible la actualizacion de PER ANTIVIRUS que detecta y elimina la muestra de virus enviada. Le recomendamos que actualice ahora el antivirus y explore toda la PC.
Una respuesta genérica, informan que es un virus, pero no dicen cuál es.
Panda: El fichero Amor.exe.exe pertenece al troyano Trj/Banbra.BWJ, dadas las características del mismo tan sólo es posible eliminarlo. Para eliminar y protegerse del Trj/Banbra.BWJ realice las siguientes acciones: (…)
Definitivamente la mejor respuesta: no sólo me identifican al troyano, sino que también me informan cómo eliminarlo sin la obligación de comprar su producto.
¿Mi conclusión? USAR EL SENTIDO COMÚN. No abrir archivos que parezcan sospechosos y pensar dos veces antes de hacer clic.
Para entendidos, acá tienen el virus, está comprimido con password “virus”. Prueben sus antivirus.
Otro lenteja que no ve la fecha del post. Mejor cierro los comentarios acá, siempre cae algun Patonauta que deja comentarios descolgados.
Simplemente debiste probar el virus en una máquina virtual cosa que si se infecta el guest no le pasa nada al host. Cosa muy sencilla. Ten esto en cuenta la próxima vez novatillo.
bueno yo lo pase con el per x4 y detecto el virus trojan/banker.ary lo elimino automaticamente…..
son todos unos bolu tengo que instalar un antivirus y las respuestas me dejaron en bolas,como dijo uno la voy a poner a mi tia que es mas rápida que la luz y no se le pasa una y listo ,chau “genios”
gente dos cosas
el mejor antivirus es el LEAN BIEN
NOD32 2.50 O 51 ES LO MISMO detecta todos ls virus con o sin actualizaciones y ocupa pokos recursos.
Y en otro caso eh echo prueva desistemas operativos y eh llegado a la conclusion de que windows xp es el mejor de todos ni linux ni nadie lo supera por varas razones..
1.esta optimizado para juegos
2.esmas estable mucho mas estable quelinux no lo pueden negar en linux borras algo importante y chau sistema enseguida tenes errores en windows para usuarios no experimentados eso no pasa…ok??
3.el windows es mucho mas grafico y tiene muchos mas programas mejores ..y echos para windows…
en conclusion si sabes de informatica y queres teer lo mejor de lo mejor sin sifrir con los virus
ponete windows xp o vista y el antivirus NOD32 2.50 O 51 y de antispyware e adaware con esa conbinacion no falla ..
Por favor amigos, el tema tiene 9 meses ahora hasta mi tía detecta al virus. :P
Kaspersky lo detecta y elimina de inmediato. Para mi el mejor con diferencia
eliminado: programa troyano trojan-Spy.Win32.Banker.ark
Si de NOD32 te contestaron que lo detectaban bajo ese nombre y tu antivirus no lo detecto, entonces tu antivirus no estaba actualizado, sino, no hay otra respuesta. Habra que ver si tenias activado absolutamente todo lo relacionado a heuristica.
Lisandro, ese post es del 8/3/2006 supongo que ahora todos los antivirus detectan a este bicho.
Tengo instalado el AVG free, cuando descomprimí el virus.rar me lo detectó.
McAfee VirusScan Enterprise Edition 8.0.0 con Engine 4400 y definiciones 4736 lo detecta como Generic PWS.s Troyano y lo elimina automaticamente. La verdad que este AV me funciona muy bien y tiene una opción para analizar adjuntos con varias extensiones como archivo.jpg.exe
De Bit Defender:
“Enviamos el archivo a nuestros Laboratorios y efectivamente está infectado por la variante de virus: Trojan.Spy.Banker.ARK.
Rogamos disculpe la anterior respuesta en la que todavía no se había añadido dicha firma de virus en nuestros motores y gracias por su colaboración e interés.”
(respuesta a mi mensaje pidíendoles que revisen su primer opinión)
Bueno, lo que voy a decir va a parecer raro pero: el NOD32 no me lo detectó (y eso que tiene la base de virus de hoy :S) aún así, quien si lo detecto fue el: WINDOWS DEFENDER me lo detecto como Glacier y lo voló :D
de desvirtuo el tema, se volvio mas cargado a lado de versiones de linux que a lo dedicado de los virus, caramba !! jejejejejeje
El gimp! el Gimp!! con esa interfase “todo-suelto”, lo instalé tres veces y tres veces lo desinstalé hichado las pelotas por esos pedazos de pantalla por todo el escritorio…
Si si, ya sé, todo es cuestión de costumbre.
Algo que en linux se le acerque al dreamweaver, un toquecito nomás, y me paso prometo! (y no me vengan con emuladores ni esas cosas que no tengo una supermáquina de procesamiento paralelo).
Luego, ya me imagino: papi, porque no puedo jugar al pindrolex? Porque es Open Source, querido porque es Open Source, GNU, Freeware y todas esas siglas pogeekitamente correctas. :P
yo te imaginarás que soy cero fierrera. a mi me pusieron el debian hace más de dos años y jamás le metí un dedo. “no hay que reinstalarlo” cada 6 meses para que funcione bien. Lo unico que hice fue instalarle algunas fuentes más entretenidas.
Y si, es cierto que para el diseño es un bajón, aunque el gimp está muy bueno. De todas maneras, como suelen decir los nerds con los que me junto, “no te quejes de lo que no está hecho, agarrá y ponete a hacerlo”. o algo asi.
:) cariños!
Yo por suerte no sufro de esa manía de actualización, sigo con el mismo linux que instalé como hace un año. Será por eso que me dicen linuxero trucho. Es más, me gustan las distribuciones facilongas que vienen listar para usar.
Para algunas cosas le falta al pingüino, como bien decís, pero en mi caso sobra.
Cuando Macromedia haga programas para linux, me llaman, ok?
Cuando tengan hijos que quieran jugar también ;).
Mientras tanto sigan actualizando SOs…(no conozco a ningún linuxero que por lo menos no haya cambiado 5 veces de sistema, de distribución, de GUI o de lo que quieran llamarlo).
Ojo, me simpatiza el pingüinito, pero todavía falta muchachos. (uh, se armó).
lo increible es que uso debian y a mi se me hace mas sencillo, mas bonito, mas potente y má seguro que windows, me extraña que no seamos la mayoria quienes lo usamos.
je, yo uso linux. si quieren saco a pasear el bicho ese por todo el sistema operativo, pobrecito necesita un poco de cariño y alimento balanceado, nada mas!
Cuando aprenderá esta gente… hace bastante tiempo que no tengo que preocuparme por usar antivirus. Exactamente desde que uso Linux!
Hola amigos, recién instalé la última versión del Nod32 y encuentra al Troyano. Tenía una versión vieja que, aunque su base de firmas de virus estaba al día, no detectaba al troyano. Así que confirmo el último párrafo de mi último comentario.
Chozus!! me arrancaste una carcajada: tenés razón!
Por lo que veo, acá hay varios a los que nos gusta jugar con estos bichitos y probar nuestros antivirus.
Según el informe de VirusTotal (buen dato, Toño!) se trataría de una nueva variante… supongo que en un par de semanas los demás antivirus estarían dando positivo a lo que parecería ser una versión de un Troyano (no tanto un virus, sino una suerte de spyware).
El Nod32 de mi casa no lo detectó, quizás sea porque es una versión vieja que no analiza “malware” en general, como si lo hacen las nuevas generaciones de antivirus que revisan troyanos, spyware, hijacking, spam y otras nuevas formas de maldad. :)
que raro… a mi el NOD me lo detecto y, porque así lo tengo configurado, lo borró directamente (no hay manera de extraerlo del rar, dura “nada” en el escritorio).
Saludos, Ignacio.
problema con mi sentido común: están los que inventan virus, y están esos a los que les encantan .)
Para bajar el archivo, comprimido en un rar, se necesita introducir una contraseña, con esa contraseña descomprimir para ejecutar, osea,varios clicks e introduccion de info especifica, y viene la advertencia y el archivo del virus es virus, por tanto, manjarlo con cuidado, pero es seguro de manejar.
Ahora lo que sigue, kaspesky es la mejor casa antivirus, de eso no tengo duda, y kaspesky si lo marca como virus, por tanto… es un virus.
AntiVir 6.34.0.53 03.08.2006 no virus found
Avast 4.6.695.0 03.08.2006 no virus found
AVG 718 03.08.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.09.2006 no virus found
CAT-QuickHeal 8.00 03.08.2006 (Suspicious) – DNAScan
ClamAV devel-20060126 03.09.2006 no virus found
DrWeb 4.33 03.08.2006 Trojan.PWS.Banker.based
eTrust-InoculateIT 23.71.97 03.09.2006 no virus found
eTrust-Vet 12.4.2110 03.08.2006 no virus found
Ewido 3.5 03.09.2006 Logger.Banker.ark
Fortinet 2.71.0.0 03.09.2006 Spy/Bancb
Ikarus 0.2.59.0 03.08.2006 Trojan-Spy.Win32.Banker.ARK
Kaspersky 4.0.2.24 03.09.2006 Trojan-Spy.Win32.Banker.ark
McAfee 4713 03.08.2006 New Malware.n
NOD32v2 1.1434 03.08.2006 probably a variant of Win32/Spy.Banker.AHY
Norman 5.70.10 03.08.2006 no virus found
Panda 9.0.0.4 03.08.2006 Suspicious file
Sophos 4.03.0 03.08.2006 Troj/Bancb-Fam
Symantec 8.0 03.09.2006 no virus found
TheHacker 5.9.5.110 03.09.2006 Trojan/Spy.Banker.ark
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.09.2006 Trojan-Spy.Win32.Banker.ark
fatlta el fprot :-P, ese lo checo ahorita y digo si lo reconoce, por mientras, a todas esas casas fue enviado el archivo.
Y a este post lo podríamos calificar como otra variante del mismo virus, ya que con un sólo click podés bajarlo y ejecutarlo :P
yo lo voy a enviar a virustotal, alli si me dicen bien que es
Yo soy un virus, mi primera cosa fue bajar el virus para checarlo jajajaj, se ve qu me hace falta sentido común, pero sobre advertencia no hay engaño.
por lo pronto, Nod32 si me lo detecto, y lo marca como lo pones (Win32/Spy.Banker en winxp). pero lo marca como probable y a cuarentena (NOD32 version 1.1435 (20060308) NT)
Curioso… lobaje, lo descomprimi y mi AVG free edition no dijo nada… entonces le ordene mediante boton derecho que haga analisis al amor.exe.exe y la frutilla de la torta aparecio… me dijo “virus not found”. De todas maneras estoy en mi notebook que no la tengo demasiado para revisar archivos extraños sino mas bien como estacion ortatil de trabajo.
Mañana lo pruebo en mi pc de escritorio que tengo McAfee (truchado) y les cuento lo que paso.
¿En qué quedamos, eh?
Es el Win32/Spy.Banker.AHY modificado tal como lo informa NOD32…
o es una variante del Trj/Banbra.BWJ que detectó Panda.
Los dos no pueden serlo, por lo tanto, por lo menos uno de ellos está en un error (falso positivo – verdadero positivo, no importa).
¿Y la tan mentada heurística?
Me dejaste “un poquito” muy preocupado… evidentemente no se puede confiar ciegamente en ningún antivirus.
Sentido común también es bajarle un par de cambios al mouse, no sea cosa que por ir a 200 por hora, hagamos un doble click donde nunca deberíamos haberlo hecho. :-(
Che yo por las dudas ni lo toco a tu virus…a ver si todavia mi “AVAST”, no lo capta y chau compu….con lo madera que soy a ver si x hacerme la viva…me quedo sin compu….jajajja!!!!
Besitos…