LO PONGO AQUI POR QUE NO SABIA DONDE...........
ME ACABA DE LLEGAR UN CORREO CON UN TELEGRAMA Y SIN PENSAR EN NADA MAS POR QUE AL SER TELEGRAMA ME ASUSTAO, LO HE ABIERTO Y HE DESCARGADO NO SE QUE PARA PODER ABRIRLO, DE REPENTE NO SE ME DESCARGA NADA Y DESPUES ME SALTA EL ZONE ALARMA Y ME DICE demonio666vip esta intentando entrar, LO HE RECHAZADO Y ME PUESTO A BUSCAR EN INTERNET Y ENCONTRE ESTO.
TENER CUIDAO YO NO SE QUE VA A PASAR CON MI PC, DE MOMENTO PARECE QUE VA BIEN PERO...........ADEMAS PARECE QUE ROBA CUENTAS BANCARIAS :pregunta: OS DEJO LO QUE ENCONTRE AHORA MISMO.

EL CORREO ES ESTE:


PONE OTROS DATOS PUES ES DE ALGUIEN QUE LO DEJO EN UN FORO DE VIRUS.

Y LA INFORMACION DEL TROYANO ESTA:

El mail viene del dominio correo.es, no de correos.es como es el normal.

En la imagen que se observa al ejecutar el HTML que llega adjunto, se observan unos cuantos fallos que no son propios de un servicio como el de Correos:

En la línea del link dice : "Haga cliq aquí para abrir tu telegrama"

Y ya dicha línea suena mal, pues primero habla de Vd : "Haga" y al final de tú: "tu telegrama"

y la palabra cliq está mal escrita con ganas, pues debería ser click, y pudiera ser mal escrita clic o clik pero nunca cliq como indica el mail !

Mas propio sería "Haga click aquí para abrir su telegrama"


Si se pulsa sobre el link conduce a sh???.net/cm0 y ofrece descargar o ejecutar (NUNCA DEBE HACERSE) el fichero : Telegrama99781-ES.scr que es un ejecutable de 157526 KB que contiene un Trojan-Downloader.Win32.Banload.cgh

analizado con el VirusTotal actualmente lo detectan solo un 41 % de los antivirus:

File Telegrama99381-ES.scr received on 2009.06.11 11:19:20 (UTC)


Result: 16/39 (41.03%)


Antivirus Version Last Update Result

a-squared 4.5.0.18 2009.06.11 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.06.11 -
AntiVir 7.9.0.183 2009.06.11 TR/Dropper.Gen
Antiy-AVL 2.0.3.1 2009.06.11 -
Authentium 5.1.2.4 2009.06.10 W32/SuspPack.M.gen!Eldorado
Avast 4.8.1335.0 2009.06.10 -
AVG 8.5.0.339 2009.06.10 -
BitDefender 7.2 2009.06.11 Gen:Trojan.Heur.90837C6969
CAT-QuickHeal 10.00 2009.06.11 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.06.11 -
Comodo 1312 2009.06.11 -
DrWeb 5.0.0.12182 2009.06.11 BackDoor.Pigeon.8828
eSafe 7.0.17.0 2009.06.10 -
eTrust-Vet 31.6.6553 2009.06.11 -
F-Prot 4.4.4.56 2009.06.10 W32/SuspPack.M.gen!Eldorado
F-Secure 8.0.14470.0 2009.06.11 Trojan-Downloader.Win32.Banload.cgh
Fortinet 3.117.0.0 2009.06.11 -
GData 19 2009.06.11 Gen:Trojan.Heur.90837C6969
Ikarus T3.1.1.59.0 2009.06.11 Trojan.Crypt
K7AntiVirus 7.10.760 2009.06.10 -
Kaspersky 7.0.0.125 2009.06.11 Trojan-Downloader.Win32.Banload.cgh
McAfee 5642 2009.06.10 -
McAfee+Artemis 5642 2009.06.10 -
McAfee-GW-Edition 6.7.6 2009.06.11 Trojan.Dropper.Gen
Microsoft 1.4701 2009.06.11 -
NOD32 4147 2009.06.11 -
Norman 6.01.09 2009.06.10 W32/Obfuscated.I!genr
nProtect 2009.1.8.0 2009.06.11 -
Panda 10.0.0.14 2009.06.10 -
PCTools 4.4.2.0 2009.06.11 -
Prevx 3.0 2009.06.11 -
Rising 21.33.32.00 2009.06.11 Packer.Win32.Agent.r
Sophos 4.42.0 2009.06.11 Mal/Behav-103
Sunbelt 3.2.1858.2 2009.06.11 -
Symantec 1.4.4.12 2009.06.11 Suspicious.MH690.A
TheHacker 6.3.4.3.343 2009.06.10 -
TrendMicro 8.950.0.1092 2009.06.11 -
VBA32 3.12.10.7 2009.06.11 -
ViRobot 2009.6.11.1781 2009.06.11 -

Additional information
File size: 157526 bytes
MD5...: e3c0f202ebc795103b4b7ad348f15432
SHA1..: 92dc460a36a726d5957b006926ec0532ad0bef4f

Como se ve, no lo detectan todavía los tan usados AVG, ni AVAST, ni NOD32, ni Panda, ni TREND

Con el ELISTARA 18.80 de hoy ya controlamos y eliminamos esta nueva variante


Avisamos de ello ya que es muy fácil de "picar" ante la llegada de un presunto "telegrama" por e-mail e infectarse con un downloader de un cazapasswords bancario, tan peligrosos como abundantes hoy en día. Mucho cuidado con ellos que pueden obtener numeros de cuentas bancarias y passwords con los que hacer transferencias de fondos, no precisamente a nuestro gusto...

saludos

ESTOY MIRANDO Y EL ZONEALARM SI LO TENIA OS DEJO FOTOS PARA QUE VEAIS MAS O MENOS DONDE SE MUEVE Y EL LOGO QUE TIENE, POR EJEMPLO EN EL ZONE ALARM ME DICE LA RUTA DONDE ESTA , HE PODIDO ELIMINAR 2 PERO EL AVG.EXE NO ME DEJA ELIMINARLO DE NINGUN MODO.
VERE HABER A MODO SEGURO ...........MAS ME VALE POR QUE NO SE FORMATEAR :llorar:

OS DEJO EL BISHO QUE VAYA NOMBRECITO......................



Y ASI APARECE SU IMAGEN EN TU PC,

yohana le preguntare a rafael es el moderador de informatica del foro que sabe de esto,paso este mensaje a foro de informatica
bendiciones

gracias apolos, el que no podia eliminar el AVG.EXE, ya lo elimine asi, vas a administrador de tareas dando en Ctrl+ Alt+ Supr, le das a finalizar tarea y despues vas al archivo eliminar y listo.

esperemos que lo haya quitao del todo y no pase nada al pc

Hola Hermanos, en efecto, estos son virus de correo.El punto es que JAMAS abran archivos de lugares desconocidosJAMAS abran archivos que terminen en .exe, .bat, .msi, y cualquier otro que no conozcan.Tampoco abran cosas de remitentes desconocidos, si usan yahoo, podran ver al lado del remitente, verificado por domainkeys, sino, mucho ojo porque puede ser peligroso.Ahora otra cosa para estar seguros de la desinfeccion es ver si se ejecuta al inicio, para ello los eliminaremos manualmente.En el siguiente post les explico como.

Dios!!!Hasta ahorita posteo xDBueno, la forma de desinfección de este virus es tomando los registros de inicio:Para ello podemos ir sencillamente a Inicio - Programas/Todos los Programas - Inicio (Una carpeta llamada asi)Ahi le damos clic derecho sobre la carpeta Inicio y Seleccionamos Abrir, luego ahi Borramos cualquier archivo desconocido, lo mejor es que si tenéis dudas escribáis la lista de archivos que estan en esa carpeta, asi eliminamos los sospechosos del inicio.De igual forma esta carpeta es útil si deseamos añadir algun programa manualmente al inicio de la Sesion.Luego doy mas info (trataré de no tardar tando )Dios les Bendiga!