ojo: ver nota al final

Lo que se indica a continuación hasta el PUNTO 2 de esta noticia, es a título histórico, válido para el virus WECORL real, y no hace falta para el falso positivo que detectaron los DAT 5958, pero se deja solo a título histórico.

 

Esta tarde se ha iniciado un ataque mundial de una nueva variante del Wercol, que conociamos incialmente el que entraba como el Conficker, pero este entra incluso en los que tienen el parche en cuestion MS08-067, por lo que pensamos que está entrando por otro agujero de seguridad no parcheadom esto es, un nuevo zero day de Microsoft ???

El proceso a seguir para eliminarlo es el siguiente:

1. Arrancar en modo seguro (pulsando repetidamente F8 al arrancar y escogiendo dicha opcion)
2. Si así el ordenador lanza un shutdown (apagado), desde inicio -> ejecutar lanzar un SHUTDOWN  -A
3. Luego  desde Inicio -> Todos los Programas -> McAfee -> Analisis bajo demanda -> Iniciar
4. Con ello se eliminará el virus, pero el sistema operativo puede ser que este corrupto. Por ello, a continuacion, arrancar desde el CD de instalacion del sistame operativo y lanzau una REPARACION DE SISTEMA (no una reinstalacion !!! )
5. Luego lanzar un windowsupdate para instalar los parches en los nuevos ficheros

Finalmente arrancar normalmente y ver lo que ha borrado dicho virus.
Tener en cuenta que puede haber robado claves, datos, passwords y demas, al menos lo hacía la version inicial.

Tan pronto como tengamos muestras al respecto, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos aqui mismo

Saludos

ms, 21-4-2010

_______________________________

PUNTO 2

última informacion

McAfee nos informa que puede deberse a un falso positivo de los DAT 5958

Con los 5959 quedará resuelto

Se publicarán a las 20 horas (hora peninsular de España)

Por favor no usar los DAT 5958, ESPERAR A LOS DAT 5959

_______________________________

Si ha desaparecido la barra de inicio:

 

Con un CTRL – ALT – SUP  lanzar el EXPLORER.EXE como tarea nueva, y ello se la restablecerá

_______________________________

PARA ACTUALIZAR LOS NUEVOS 5959

 

Cuando ya McAfee los tenga disponible, arrancar en modo normal, si presenta el shutdown ejecutar Inicio -> Ejecutar -> Shutdown  -a  para detener el apagado, y con el boton derecho sobre el icono del VirusScan,  pulsar en ACTUALIZAR AHORA

_______________________________

Por fin respiramos !

De camino a casa, compañeros de SATINFO me llaman al movil indicando que ya estan disponibles los BETADATS con los que solucionar el problema !

Simplemente arrancando en MODO SEGURO CON FUNCIONES DE RED, descargando el EXE de los BETADATS de hoy y ejecutandolo, se actualiza el antivirus de manera que ya se puede arrancar en modo normal y al parecer queda solucionado el Tema

Acabo de llegar a casa y antes que nada lo indico para quienes estén esperando la solucion al problema

Descarga de XDATBETA

________________________________

Y POR FIN LOS DAT 5959:

 

Pues igual que hemos dicho con los BETADATS, ya podemos actualizar con los definitivos DAT5959

Para ello igualmente, arrancar en MODO SEGURO CON FUNCIONES DE RED, descargar el fichero ejecutable de dichos DAT 5959 y ejecutarlo en dicho modo.

y ya está !!!    Reiniciamos en modo normal y parece que todo ha vuelto a la normalidad.

________________________________

NOTA:

Si ha desaparecido el SVCHOST.EXE, el ordenador no funcionará del todo, por lo que luego (siempre después de actualizar los DATS), se debe restaurar copiando en la carpeta de sistema (C:\windows\system32\) dicho fichero, bien cogiendolo de dicha carpeta de otro ordenador con XP SP3 , o bien probando si lo tiene este en C:\windows\servicepackfiles\i386\svchost.exe

Dicha operación de copiado debe hacerse desde MSDOS con un COPY, ya que el copiar y pegar del windows no funcionará por falta de dicho SVCHOST, por ejemplo:

COPY C:\windows\servicepackfiles\i386\svchost.exe C:\WINDOWS\SYSTEM32\

y si se copia desde un pendrive en el que se haya copiado el de otro equipo en el directorio principal del pendrive:

COPY <unidad donde se tenga el pendrive>:\svchost.exe C:\WINDOWS\SYSTEM32\

Si no se encontrara por ninguna parte dicho fichero, siempre cabe lanzar una REPARACION DE SISTEMA, arrancando con el CD de instalación de Windows, proseguir como si se fuera a instalar y, cuando detecta la partición instalada, escoger REPARAR. (Y tras ello lanzar un windowsupdate), pero ello es mas largo, y no hace falta normalmente.

ms.

_________________________________

El susto, los nervios y las tensiones por dicho incidente, no nos los quita nadie ! Las 20 lineas de teléfono han sacado humo esta tarde en SATINFO, igual que en muchos distribuidores y mayoristas de todo el mundo, y por supuesto en McAfee, que son los que lo han guisado, lo han comido, pero al final lo han solucionado 🙂

Eso puede pasar en las mejores familias, como se ha podido comprobar otras veces con otros antivirus, pero el fallo del lider del sector casi no es comprensible, pero somos humanos… !

Desde aqui, en nombre de McAfee, pedimos disculpas por los problemas que ello haya podido causar, si bien el equipo técnico y comercial de SATINFO (todos contestabamos las llamadas indicando que leyeran este blog) ha atendido puntualmente y al pie del cañón, incluso pasada la hora de cierre (todos hemos hecho hoy horas extras voluntarias), las incidencias que nos iban reportando la mayoría de asociados a nuestros servicios

Con esta disculpa cerramos esta noticia, siguiendo en otra si es necesario, igual que mañana, en el mail que enviamos semanalmente a los asociados a recibir noticias por e-mail, se hará especial mención a este incidente, que tanto stress nos ha creado, entendiendo los enfados y críticas que ello haya podido ocasionar, de lo que, con toda seguridad, McAfee sabrá aceptar y excusarse, como es de recibo !

Muchas gracias por su comprensión.

SALUDOS

ms, 21-4-2010

VER NUEVA NOTICIA MAS RECIENTE EN https://blog.satinfo.es/?p=3661