Author Topic: VIRUS DE LA POLICIA NO DETECTADO POR AVAST  (Read 22773 times)

Offline J1000

  • Newbie
  • *
  • Posts: 2
    • Personal Message (Offline)
VIRUS DE LA POLICIA NO DETECTADO POR AVAST
« on: January 20, 2012, 06:18:52 PM »
Tengo la última versión del Avast y siempre tengo la última actualización de la base de datos.

Sin embargo ayer fui infectado por el "Virus de la Policía" (se bloquea el ordenador con un supuesto mensaje de la policía indicando que debes pagar una multa para desbloquear el ordenador).

El Antivirus me aparecía con una cruz en rojo y no podía hacer nada.

Mirando los foros en internet lo solucioné iniciando en Modo seguro con funciones de red e instalado el programa Malwarebytes que lo consiguió detectar y eliminar.

¿Como siendo un virus tan conocido y teniendo la última versión de la base de datos de virus pudo infectar mi ordenador?

¿Alguna recomendación para que no me vuelva a ocurrir?

Muchas gracias

Offline Populous

  • Advanced Poster
  • **
  • Posts: 865
  • Gender: Male
    • MAXSOFTWARE.ES  - Programación, Seguridad, Antivirus, Redes, Noticias, Actualidad y todo lo relacionado con la informática!
    • Personal Message (Offline)
Re: VIRUS DE LA POLICIA NO DETECTADO POR AVAST
« Reply #1 on: January 20, 2012, 06:24:23 PM »
Tengo la última versión del Avast y siempre tengo la última actualización de la base de datos.

Sin embargo ayer fui infectado por el "Virus de la Policía" (se bloquea el ordenador con un supuesto mensaje de la policía indicando que debes pagar una multa para desbloquear el ordenador).

El Antivirus me aparecía con una cruz en rojo y no podía hacer nada.

Mirando los foros en internet lo solucioné iniciando en Modo seguro con funciones de red e instalado el programa Malwarebytes que lo consiguió detectar y eliminar.

¿Como siendo un virus tan conocido y teniendo la última versión de la base de datos de virus pudo infectar mi ordenador?

¿Alguna recomendación para que no me vuelva a ocurrir?

Muchas gracias

Hola J1000 y bienvenid@ al foro!  :)

Lamentablemente aunque dispongas del antivirus más potente y caro del mundo, ninguno es invencible. Como armas para luchar contra el malware un antivirus es un aliado pero no es la solución. Lo principal es el sentido común, y evitar abrir correos/archivos extraños ó de procedencia desconocida ni descargar ficheros de redes P2P entre otras actividades de riesgo. Si desconfías de un archivo siempre puedes subirlo antes a http://www.virustotal.com para que se analice con varios motores de antivirus pero tampoco es fiable al 100% solo es para hacerte una idea.

Lo que debes hacer ahora es comunicarlo en el foro de VIRUS & WORMS (http://forum.avast.com/index.php?board=4.0)y enviar una copia del malware en un archivo ZIP con contraseña para que lo analicen e incorporen su firma (forma de identificarlo ó su huella digital) en una próxima actualizción y así el resto de usuarios de Avast esten protegidos.

También te comento que diariamente salen a la red miles de virus nuevos, muchos de ellos modificaciones (mutaciones) de virus ya existentes lo que se conocen como variantes de un virus. Suponte que tu mismo eres un creador de virus y expandes uno en la red. En pocos días los antivirus tendrán su firma y lo detendrán pero si tu "modificas" el código de tu virus y haces una versión nueva los antivirus no reconocerán esta nueva versión hasta pasado algún tiempo...Es como la gripe que cambia todos los años!  ;D

Por eso te decía que no es cuestión de antivirus, sino de sentido común y como dice un amigo mío.. "El mejor antivirus es el que tenemos entra las orejas!!" (By Iroc) xD y como digo yo.. "El mejor antivirus es aquel que se sienta entre el ordenador y el teclado! ";)

Espero haberte aclarado un poco más tus dudas.
Un saludo!  ;)
« Last Edit: January 20, 2012, 06:33:07 PM by Populous »
CPU: Intel (R) Core I5-2400 CPU - 3.10GHZ @ 3.10 GHZ | RAM: 6GB -DDR3 | T.Gráfica: NVIDIA GeForce GT 520 - 1024MB | SO: Windows 8 PRO con Media Center - 64 Bits| Antivirus: Avast Free - 8.0.1497 | AntiSpyware: MBAN PRO - 1.75.0.1300 | Spyware S & D - 2.1.21 SR2 | Cortafuegos:  Cómodo I.S (FW/Comp.Bloqueo) - 6.2.285401.2860 | Cloud: Hitman Pro - 3.06 | Virtualización: Sandboxie - 4.04 /64BIT |

Online iroc9555

  • avast! Evangelist
  • Ultra Poster
  • ***
  • Posts: 5166
  • Gender: Male
  • CCS, Vzla.
    • Personal Message (Online)
Re: VIRUS DE LA POLICIA NO DETECTADO POR AVAST
« Reply #2 on: January 20, 2012, 07:09:08 PM »
J1000.

Puede que Malwarebyte´s no haya sacado todo y todavias estes propenso a infectarte otra vez. Si sabes ingles y como te lo recomendo el amigo Populous abre un nuevo topico en Virus and Worms Forum para que e revisen y limpien el ordenador.

Si no sabes ingles registrate y abre topico en los forors de InfoSpyware

 http://www.forospyware.com/

Donde gente capasitada te ayudara.
Hernan.
Dim 9200/XPS 410. C2D E6600; 2.40 GHz; 2 GB SDRAM. XP Pro_86. Spk3. IE 8 & FF 27 Avast! FREE 9.0.2016. CIS 5.12(Fw/D+). MBAM Premium. MCShield. SpywareBlaster. WinPatrol +. OpenDNS. WOT. SAS Pro (O/D).
“We are all ignorant, but we don't all ignore the same things..” Albert Einstein.

Offline ady4um

  • Massive Poster
  • ****
  • Posts: 2676
    • Personal Message (Offline)
Re: VIRUS DE LA POLICIA NO DETECTADO POR AVAST
« Reply #3 on: January 20, 2012, 09:23:47 PM »
@J1000,

Una cosa es que el virus pueda haber pasado, pero además, por tu descripción, parecería haber desactivado al antivirus, cosa que aumenta la gravedad de este malware en particular (y que es poco común).

Está avast ahora funcionando nuevamente, o sigue estando en estado inseguro / desactivado?
ADD/REMOVE PROGS -> avast -> CHANGE/REMOVE -> REPAIR & REBOOT
Avast! 7 FAQ | FAQ & KB | Docs | Removal Utils | Configure Mail Shield | report FP | License Registration | UNSECURED?

Offline Populous

  • Advanced Poster
  • **
  • Posts: 865
  • Gender: Male
    • MAXSOFTWARE.ES  - Programación, Seguridad, Antivirus, Redes, Noticias, Actualidad y todo lo relacionado con la informática!
    • Personal Message (Offline)
CPU: Intel (R) Core I5-2400 CPU - 3.10GHZ @ 3.10 GHZ | RAM: 6GB -DDR3 | T.Gráfica: NVIDIA GeForce GT 520 - 1024MB | SO: Windows 8 PRO con Media Center - 64 Bits| Antivirus: Avast Free - 8.0.1497 | AntiSpyware: MBAN PRO - 1.75.0.1300 | Spyware S & D - 2.1.21 SR2 | Cortafuegos:  Cómodo I.S (FW/Comp.Bloqueo) - 6.2.285401.2860 | Cloud: Hitman Pro - 3.06 | Virtualización: Sandboxie - 4.04 /64BIT |

Offline J1000

  • Newbie
  • *
  • Posts: 2
    • Personal Message (Offline)
Re: VIRUS DE LA POLICIA NO DETECTADO POR AVAST
« Reply #5 on: January 21, 2012, 11:56:06 AM »
@J1000,

Una cosa es que el virus pueda haber pasado, pero además, por tu descripción, parecería haber desactivado al antivirus, cosa que aumenta la gravedad de este malware en particular (y que es poco común).

Está avast ahora funcionando nuevamente, o sigue estando en estado inseguro / desactivado?


El antivirus estaba completamente desactivado. Lograba abrir la página de Avast y aparecía la cruz roja de estado inseguro/desactivado

Ahora ya funciona correctamente.

El proceso que he seguido para eliminar el virus ha sido:

Ejecutar Malwarebytes rápido (encontró dos troyanos y otro "backdoor" o algo asi)
Reinicié el equipo normalmente y al memos ya no estaba bloqueado
Ejecutar Malwarebytes completo (encontró otro malware y dos PUP). Elimine y reinicie
Ejecutar Avast (ya funcionaba) completo y no encontró nada
Ejecutar Avast (durante el inicio) y encontró dos PUP
Ejecutar CCleaner


Me gustaría poder reportar la información del virus pero no se como hacerlo. Tras localizarlo con Malwarebytes lo eliminé directamente. Me salió un mensaje emergente con texto describiendo lo realizado por Malwarebytes pero no lo grabé. ¿Esta información se guarda automáticamente en alguna carpeta?

Gracias de antemano por vuestro interés y vuestras respuestas


Offline ady4um

  • Massive Poster
  • ****
  • Posts: 2676
    • Personal Message (Offline)
Re: VIRUS DE LA POLICIA NO DETECTADO POR AVAST
« Reply #6 on: January 21, 2012, 01:27:16 PM »
Para reportar un malware no detectado por avast (y así lo puedan incluir en las siguientes definiciones de avast) hay varios métodos, de alguna manera complementarios.

Lamentablemente, los laboratorios de avast requieren de mayor información que la que se puede proporcionar en este caso, pero respondo aquí para que si el caso se presenta nuevamente, puedas intentar guardar la información necesaria.

En primer lugar, cuando es posible, se pude mandar el archivo a "cuarentena" (o el equivalente de la herramienta utilizada, sea MBAM, avast chest o lo que fuera). El archivo puede ser enviado a virustotal.com y otros sitios equivalentes para confirmar si algunos antivirus detectan al archivo como infección. Lo resultados en VT no siempre son definitivos, pero ayudan.

El archivo se puede enviar por email. Para ello, hay que crear un archivo zip (o 7z o rar o cualquier tipo de archivo de compresión conocido). A este archivo zip se le agrega el archivo peligroso / infectado y si se tiene información adicional relevante (como algún reporte de VT o un link a un topic) se agrega también un archivo de texto (readme.txt o algo así).

Una vez que se tiene el zip con la información relevante y el archivo potencialmente peligroso, hay que agregar al zip una clave (password) simple. La necesidad de la clave es para que el zip no sea eliminado del email en forma automática por los diversos sistemas de protección en los servidores de correo.

Se prepara un email, con un título relevante:
_ FP = falso positivo;
_ "Unknown malware" = malware desconocido;
_ "possible FP / unconfirmed malware" = posible falso positivo o malware no confirmado ; para el caso en que no podemos estar seguros y queremos que los laboratorios de avast lo revisen nuevamente; acaso es FP o un malware?.
_ cualquier combinación de palabras relevante que explique claramente la intención del contenido del email; recomendable en inglés.

Un título adecuado para el email acelera mucho el trámite (mejor aún en inglés, por eso lo escribí así).

En el contenido del email es indispensable indicar la clave que hemos puesto al archivo zip, y, claro, el attachment.

El destinatario será:

Code: [Select]
virus  At avast   d 0 t   c 0 m
Code: [Select]
virus   arroba  avast punt0   c0m
Independientemente del email, otra alternativa muy recomendada es llenar un formulario en:
http://www.avast.com/contact-form.php?loadStyles (inglés)
http://www.avast.com/es-es/contact-form.php?loadStyles (español)

Si el archivo zip que preparamos es demasiado grande (los servidores de correo imponen un límite al tamaño de los adjuntos y/o al email completo, una posible alternativa es subirlo al FTP de avast. Para ello será necesario abrir un "new topic" en el foro, indicando el nombre del zip (por favor utilizar un nombre único, o el archivo será sobre - escrito). Se sugieren nombres del tipo nombre_de_usuario_fecha_nn.zip, siendo "nn" un número (01, 02...). El topic abierto en el subforum "Viruses and Worms" debe contener el nombre del zip y la clave utilizada para el zip, como mínimo.

La dirección del FTP es ftp://ftp.avast.com/incoming y es de "sólo-escritura". Es decir que al subir el archivo, no veremos nada (no nos permite "leer" el contenido de la carpeta, solamente escribirla).

Hay una alternativa relativamente simple y útil, cuando puede ser utilizada. Si es posible "enviar" manualmente al archivo sospechoso al "chest" (escudo de cuarentena) de avast, desde allí puede enviarse el archivo sospechoso directo al los laboratorios de avast. Dentro del chest, hacer click  sobre la linea correspondiente al archivo para abrir el menú contextual. Allí se selecciona la acción correspondiente y se sigue el procedimiento. El archivo será enviado durante la siguiente actualización de la base de datos de avast (definiciones), por lo que es necesario dejar el archivo dentro del chest de avast.

Luego de las actualizaciones de avast, se puede revisar manualmente el contenido del chest, para verificar si las definiciones detectan al nuevo malware (o para verificar si un FP es ahora correctamente identificado como limpio). La detección puede demorarse, así que es recomendable repetir la re-verificación dentro del chest cada tanto (dado que cada actualización de definiciones puede cambiar el estado de la detección), hasta que finalmente la detección cambie. Si no lo hace, para eso también sirve el topic que se abrió (además de para poder publicar la clave y anunciar que se envió un cierto archivo).

En la sección de soporte de avast hay varios artículos relativos a este tema que pueden ser de interés.
ADD/REMOVE PROGS -> avast -> CHANGE/REMOVE -> REPAIR & REBOOT
Avast! 7 FAQ | FAQ & KB | Docs | Removal Utils | Configure Mail Shield | report FP | License Registration | UNSECURED?

 

Google Chrome

AVAST recommends using the FREE Google Chrome™ browser.

Download Google Chrome Now