NOTIFICACION DE EMERGENCIA SOBRE VIRUS WECORL DE INTRUSION MUNDIAL (falso positivo DAT 5958)
ojo: ver nota al final
Lo que se indica a continuación hasta el PUNTO 2 de esta noticia, es a título histórico, válido para el virus WECORL real, y no hace falta para el falso positivo que detectaron los DAT 5958, pero se deja solo a título histórico.
Esta tarde se ha iniciado un ataque mundial de una nueva variante del Wercol, que conociamos incialmente el que entraba como el Conficker, pero este entra incluso en los que tienen el parche en cuestion MS08-067, por lo que pensamos que está entrando por otro agujero de seguridad no parcheadom esto es, un nuevo zero day de Microsoft ???
El proceso a seguir para eliminarlo es el siguiente:
- Arrancar en modo seguro (pulsando repetidamente F8 al arrancar y escogiendo dicha opcion)
- Si así el ordenador lanza un shutdown (apagado), desde inicio -> ejecutar lanzar un SHUTDOWN -A
- Luego desde Inicio -> Todos los Programas -> McAfee -> Analisis bajo demanda -> Iniciar
- Con ello se eliminará el virus, pero el sistema operativo puede ser que este corrupto. Por ello, a continuacion, arrancar desde el CD de instalacion del sistame operativo y lanzau una REPARACION DE SISTEMA (no una reinstalacion !!! )
- Luego lanzar un windowsupdate para instalar los parches en los nuevos ficheros
Finalmente arrancar normalmente y ver lo que ha borrado dicho virus.
Tener en cuenta que puede haber robado claves, datos, passwords y demas, al menos lo hacía la version inicial.
Tan pronto como tengamos muestras al respecto, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos aqui mismo
Saludos
ms, 21-4-2010
_______________________________
PUNTO 2
última informacion
McAfee nos informa que puede deberse a un falso positivo de los DAT 5958
Con los 5959 quedará resuelto
Se publicarán a las 20 horas (hora peninsular de España)
Por favor no usar los DAT 5958, ESPERAR A LOS DAT 5959
_______________________________
Si ha desaparecido la barra de inicio:
Con un CTRL – ALT – SUP lanzar el EXPLORER.EXE como tarea nueva, y ello se la restablecerá
_______________________________
PARA ACTUALIZAR LOS NUEVOS 5959
Cuando ya McAfee los tenga disponible, arrancar en modo normal, si presenta el shutdown ejecutar Inicio -> Ejecutar -> Shutdown -a para detener el apagado, y con el boton derecho sobre el icono del VirusScan, pulsar en ACTUALIZAR AHORA
_______________________________
Por fin respiramos !
De camino a casa, compañeros de SATINFO me llaman al movil indicando que ya estan disponibles los BETADATS con los que solucionar el problema !
Simplemente arrancando en MODO SEGURO CON FUNCIONES DE RED, descargando el EXE de los BETADATS de hoy y ejecutandolo, se actualiza el antivirus de manera que ya se puede arrancar en modo normal y al parecer queda solucionado el Tema
Acabo de llegar a casa y antes que nada lo indico para quienes estén esperando la solucion al problema
Descarga de XDATBETA
________________________________
Y POR FIN LOS DAT 5959:
Pues igual que hemos dicho con los BETADATS, ya podemos actualizar con los definitivos DAT5959
Para ello igualmente, arrancar en MODO SEGURO CON FUNCIONES DE RED, descargar el fichero ejecutable de dichos DAT 5959 y ejecutarlo en dicho modo.
y ya está !!! Reiniciamos en modo normal y parece que todo ha vuelto a la normalidad.
________________________________
NOTA:
Si ha desaparecido el SVCHOST.EXE, el ordenador no funcionará del todo, por lo que luego (siempre después de actualizar los DATS), se debe restaurar copiando en la carpeta de sistema (C:\windows\system32\) dicho fichero, bien cogiendolo de dicha carpeta de otro ordenador con XP SP3 , o bien probando si lo tiene este en C:\windows\servicepackfiles\i386\svchost.exe
Dicha operación de copiado debe hacerse desde MSDOS con un COPY, ya que el copiar y pegar del windows no funcionará por falta de dicho SVCHOST, por ejemplo:
COPY C:\windows\servicepackfiles\i386\svchost.exe C:\WINDOWS\SYSTEM32\
y si se copia desde un pendrive en el que se haya copiado el de otro equipo en el directorio principal del pendrive:
COPY <unidad donde se tenga el pendrive>:\svchost.exe C:\WINDOWS\SYSTEM32\
Si no se encontrara por ninguna parte dicho fichero, siempre cabe lanzar una REPARACION DE SISTEMA, arrancando con el CD de instalación de Windows, proseguir como si se fuera a instalar y, cuando detecta la partición instalada, escoger REPARAR. (Y tras ello lanzar un windowsupdate), pero ello es mas largo, y no hace falta normalmente.
ms.
_________________________________
El susto, los nervios y las tensiones por dicho incidente, no nos los quita nadie ! Las 20 lineas de teléfono han sacado humo esta tarde en SATINFO, igual que en muchos distribuidores y mayoristas de todo el mundo, y por supuesto en McAfee, que son los que lo han guisado, lo han comido, pero al final lo han solucionado 🙂
Eso puede pasar en las mejores familias, como se ha podido comprobar otras veces con otros antivirus, pero el fallo del lider del sector casi no es comprensible, pero somos humanos… !
Desde aqui, en nombre de McAfee, pedimos disculpas por los problemas que ello haya podido causar, si bien el equipo técnico y comercial de SATINFO (todos contestabamos las llamadas indicando que leyeran este blog) ha atendido puntualmente y al pie del cañón, incluso pasada la hora de cierre (todos hemos hecho hoy horas extras voluntarias), las incidencias que nos iban reportando la mayoría de asociados a nuestros servicios
Con esta disculpa cerramos esta noticia, siguiendo en otra si es necesario, igual que mañana, en el mail que enviamos semanalmente a los asociados a recibir noticias por e-mail, se hará especial mención a este incidente, que tanto stress nos ha creado, entendiendo los enfados y críticas que ello haya podido ocasionar, de lo que, con toda seguridad, McAfee sabrá aceptar y excusarse, como es de recibo !
Muchas gracias por su comprensión.
SALUDOS
ms, 21-4-2010
VER NUEVA NOTICIA MAS RECIENTE EN https://blog.satinfo.es/?p=3661
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.