<![CDATA[GETOVERX FORUM Community Support - Virus]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:51:16 +0000 MyBB <![CDATA[VIRUS – Ramnit]]> https://forum.getoverx.com/showthread.php?tid=40 Sat, 29 Nov 2025 15:46:09 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=40 Nombre: Win32.Ramnit

Categoría: Virus de archivos + Infector de HTML/EXE

Fecha de descubrimiento: 2010

Comportamiento (lo que hace y archivos que infecta):
- Infecta archivos ejecutables y de contenido web, principalmente .exe, .dll, .htm y .html.
- Inserta iframes y código malicioso en páginas HTML para redirigir a sitios controlados por atacantes o descargar más malware.
- Se propaga a través de unidades extraíbles (USB) copiándose a todos los volúmenes conectados y creando accesos directos maliciosos.
- Puede descargar y ejecutar otros componentes, abrir backdoors y convertir el equipo en parte de una botnet, con capacidad de robo de credenciales (cookies de navegador, credenciales de FTP, etc.).

Persistencia:
- Infecta ejecutables del sistema y programas de uso frecuente, asegurando que su código se ejecute tras cada reinicio.
- Crea copias propias y accesos directos maliciosos en unidades extraíbles para reinfectar equipos cuando se conectan.
- Algunas variantes instalan componentes adicionales que añaden claves de inicio automático (Run/RunOnce) o servicios para mantenerse activos.

Hash real de referencia (SHA-256):
- Ejemplo de hash de una muestra pública:
Code:
d8a1d3fef8dfd75f2acbc3953113198f4b5c14f1fc103329c38ff5dc2efe9a4d

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Realizar un escaneo completo del sistema, incluyendo todas las unidades extraíbles.
    - Cuarentenar o eliminar todas las detecciones asociadas a Ramnit.
    - Prestar atención a ejecutables del sistema y aplicaciones críticas infectadas; en muchos casos es preferible reinstalar el software legítimo desde fuentes confiables.
    - Repetir el escaneo tras la limpieza para confirmar que no quedan archivos infectados.
  • Firewall:
    - Bloquear conexiones salientes a dominios y direcciones IP desconocidas asociadas a Ramnit o tráfico C2 sospechoso.
    - Restringir temporalmente el acceso a Internet del equipo comprometido mientras se realiza la limpieza, para impedir:
      - Descarga de nuevos módulos de la botnet.
      - Robo continuo de credenciales.
    - Opcionalmente, colocar el equipo en una VLAN aislada durante la respuesta al incidente.
  • HIPS/EDR:
    - Definir reglas de comportamiento para alertar o bloquear:
      - Procesos que comiencen a modificar en masa archivos .exe, .dll y .html.
      - Creación repentina de accesos directos .lnk y ejecutables en unidades USB.
      - Inyección de código en procesos del sistema, navegadores o clientes FTP.
    - Configurar respuesta automática (bloquear y registrar) cuando se detecte actividad típica de infector o intento de robo de credenciales.
  • Sandbox:
    - Analizar en Sandbox todos los ejecutables sospechosos obtenidos de:
      - “Cracks”, keygens y activadores.
      - Sitios de descargas no oficiales.
    - Observar si el archivo intenta:
      - Infectar otros ejecutables o HTML del entorno.
      - Conectarse a dominios o IPs desconocidos.
      - Crear copias en unidades extraíbles.
    - Marcar las muestras confirmadas como maliciosas para su bloqueo inmediato en el resto de endpoints.
  • Secure Erase / Limpieza avanzada:
    - Aplicar borrado seguro sobre:
      - Copias del malware en USB y discos externos.
      - Herramientas de crack/keygen usadas como vector.
    - En caso de infecciones muy extendidas en medios removibles, considerar el formateo completo de dichos dispositivos tras hacer copia de seguridad solo de archivos estrictamente necesarios y previamente escaneados.
  • Medidas posteriores al incidente:
    - Cambiar todas las contraseñas usadas desde el equipo afectado (correo, banca en línea, hosting, FTP, VPN, etc.).
    - Revisar accesos sospechosos en paneles de hosting, servicios críticos y cuentas financieras.
    - Verificar la integridad de navegadores y clientes FTP/SSH; reinstalarlos si se sospecha compromiso.
    - Implementar políticas internas para prohibir el uso de cracks y keygens.
    - Reforzar la estrategia de copias de seguridad offline y pruebas periódicas de restauración.

Notas opcionales:
- Ramnit es una familia con variantes clasificadas como virus, gusano y troyano bancario, asociada históricamente a grandes botnets y robo de credenciales.]]> Nombre: Win32.Ramnit

Categoría: Virus de archivos + Infector de HTML/EXE

Fecha de descubrimiento: 2010

Comportamiento (lo que hace y archivos que infecta):
- Infecta archivos ejecutables y de contenido web, principalmente .exe, .dll, .htm y .html.
- Inserta iframes y código malicioso en páginas HTML para redirigir a sitios controlados por atacantes o descargar más malware.
- Se propaga a través de unidades extraíbles (USB) copiándose a todos los volúmenes conectados y creando accesos directos maliciosos.
- Puede descargar y ejecutar otros componentes, abrir backdoors y convertir el equipo en parte de una botnet, con capacidad de robo de credenciales (cookies de navegador, credenciales de FTP, etc.).

Persistencia:
- Infecta ejecutables del sistema y programas de uso frecuente, asegurando que su código se ejecute tras cada reinicio.
- Crea copias propias y accesos directos maliciosos en unidades extraíbles para reinfectar equipos cuando se conectan.
- Algunas variantes instalan componentes adicionales que añaden claves de inicio automático (Run/RunOnce) o servicios para mantenerse activos.

Hash real de referencia (SHA-256):
- Ejemplo de hash de una muestra pública:
Code:
d8a1d3fef8dfd75f2acbc3953113198f4b5c14f1fc103329c38ff5dc2efe9a4d

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Realizar un escaneo completo del sistema, incluyendo todas las unidades extraíbles.
    - Cuarentenar o eliminar todas las detecciones asociadas a Ramnit.
    - Prestar atención a ejecutables del sistema y aplicaciones críticas infectadas; en muchos casos es preferible reinstalar el software legítimo desde fuentes confiables.
    - Repetir el escaneo tras la limpieza para confirmar que no quedan archivos infectados.
  • Firewall:
    - Bloquear conexiones salientes a dominios y direcciones IP desconocidas asociadas a Ramnit o tráfico C2 sospechoso.
    - Restringir temporalmente el acceso a Internet del equipo comprometido mientras se realiza la limpieza, para impedir:
      - Descarga de nuevos módulos de la botnet.
      - Robo continuo de credenciales.
    - Opcionalmente, colocar el equipo en una VLAN aislada durante la respuesta al incidente.
  • HIPS/EDR:
    - Definir reglas de comportamiento para alertar o bloquear:
      - Procesos que comiencen a modificar en masa archivos .exe, .dll y .html.
      - Creación repentina de accesos directos .lnk y ejecutables en unidades USB.
      - Inyección de código en procesos del sistema, navegadores o clientes FTP.
    - Configurar respuesta automática (bloquear y registrar) cuando se detecte actividad típica de infector o intento de robo de credenciales.
  • Sandbox:
    - Analizar en Sandbox todos los ejecutables sospechosos obtenidos de:
      - “Cracks”, keygens y activadores.
      - Sitios de descargas no oficiales.
    - Observar si el archivo intenta:
      - Infectar otros ejecutables o HTML del entorno.
      - Conectarse a dominios o IPs desconocidos.
      - Crear copias en unidades extraíbles.
    - Marcar las muestras confirmadas como maliciosas para su bloqueo inmediato en el resto de endpoints.
  • Secure Erase / Limpieza avanzada:
    - Aplicar borrado seguro sobre:
      - Copias del malware en USB y discos externos.
      - Herramientas de crack/keygen usadas como vector.
    - En caso de infecciones muy extendidas en medios removibles, considerar el formateo completo de dichos dispositivos tras hacer copia de seguridad solo de archivos estrictamente necesarios y previamente escaneados.
  • Medidas posteriores al incidente:
    - Cambiar todas las contraseñas usadas desde el equipo afectado (correo, banca en línea, hosting, FTP, VPN, etc.).
    - Revisar accesos sospechosos en paneles de hosting, servicios críticos y cuentas financieras.
    - Verificar la integridad de navegadores y clientes FTP/SSH; reinstalarlos si se sospecha compromiso.
    - Implementar políticas internas para prohibir el uso de cracks y keygens.
    - Reforzar la estrategia de copias de seguridad offline y pruebas periódicas de restauración.

Notas opcionales:
- Ramnit es una familia con variantes clasificadas como virus, gusano y troyano bancario, asociada históricamente a grandes botnets y robo de credenciales.]]> <![CDATA[Virus Sality]]> https://forum.getoverx.com/showthread.php?tid=25 Sat, 29 Nov 2025 15:32:46 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=25 Nombre: Win32.Sality

Categoría: Virus de archivos polimórfico

Fecha de descubrimiento: 2003

Comportamiento (lo que hace y archivos que infecta):
- Infecta ejecutables PE en Windows, principalmente archivos .exe y .scr.
- Inyecta código malicioso en los binarios infectados para ejecutarse cada vez que se abre el programa.
- Se replica en el sistema a medida que el usuario ejecuta programas legítimos contaminados.
- Algunas variantes descargan payloads adicionales (troyanos, backdoors, spambots) desde servidores remotos.
- Puede desactivar funciones de seguridad del sistema (antivirus, firewall nativo, actualizaciones) para facilitar la propagación.

Persistencia:
- Crea servicios o procesos residentes en memoria para asegurar su ejecución continua.
- Modifica claves de registro de inicio automático para ejecutarse al arrancar Windows, por ejemplo:
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchost.exe
- Puede modificar permisos o atributos de archivos para dificultar su eliminación.

Hash real de referencia (SHA-256):
- Ejemplo de hash de una muestra pública:
Code:
2b7e4ddedba4b6eddb5ac7f075444ef98a32956543d4eaec2e8e1bc5276b288a

Mitigación con GetOverX Shield 3.0.2.0 o Superior:
  • Antivirus:
    - Ejecutar un escaneo completo del sistema, incluyendo unidades internas y externas.
    - Cuarentenar o eliminar todos los ejecutables contaminados por Sality.
    - En el caso de aplicaciones críticas infectadas, reinstalar desde medios oficiales o copias de seguridad limpias.
    - Repetir el escaneo tras la limpieza y antes de reconectar unidades USB o de red.

  • Firewall:
    - Bloquear conexiones salientes sospechosas asociadas a descarga de payloads o comunicación con C2.
    - Restringir temporalmente el acceso a Internet del equipo infectado mientras se completa la erradicación.
    - Opcionalmente, aislar el host en una red separada (VLAN) hasta confirmar que la infección fue eliminada.

  • HIPS / EDR:
    - Crear reglas de comportamiento que alerten o bloqueen:
    - Procesos que comiencen a modificar múltiples ejecutables .exe y .scr.
    - Creación o modificación de servicios y claves Run sospechosas en el registro.
    - Intentos de desactivar procesos de seguridad (antivirus, firewall, actualizaciones).
    - Habilitar respuesta automática (bloquear y registrar) ante actividad típica de infector de archivos.

  • Sandbox:
    - Ejecutar en Sandbox cualquier archivo sospechoso proveniente de:
    - Sitios de descarga no confiables.
    - “Cracks”, keygens y activadores de software.
    - Observar si el binario intenta:
    - Infectar otros ejecutables del entorno.
    - Crear servicios persistentes.
    - Conectarse a dominios o IPs desconocidos para descargar más código.

  • Secure Erase / Limpieza avanzada:
    - Aplicar borrado seguro en:
    - Muestras de Sality almacenadas para análisis.
    - Copias de “cracks” o instaladores que sirvieron como vector de infección.
    - En infecciones graves y generalizadas, valorar un formateo controlado del sistema tras respaldar solo datos estrictamente necesarios y previamente escaneados.

  • Medidas posteriores al incidente:
    - Verificar y restaurar (o eliminar) las claves de registro de inicio automático modificadas por el malware.
    - Revisar el estado de las soluciones de seguridad y reinstalarlas si fuera necesario.
    - Actualizar todos los sistemas a versiones soportadas, con parches de seguridad al día.
    - Implementar políticas internas que prohíban el uso de software pirata, cracks y keygens.
    - Reforzar el esquema de copias de seguridad periódicas (idealmente offline) y pruebas de restauración.

Notas opcionales:
- Win32.Sality es una familia ampliamente documentada de virus polimórficos de archivos que ha tenido numerosas variantes capaces de instalar troyanos, rootkits y componentes de botnet.]]> Nombre: Win32.Sality

Categoría: Virus de archivos polimórfico

Fecha de descubrimiento: 2003

Comportamiento (lo que hace y archivos que infecta):
- Infecta ejecutables PE en Windows, principalmente archivos .exe y .scr.
- Inyecta código malicioso en los binarios infectados para ejecutarse cada vez que se abre el programa.
- Se replica en el sistema a medida que el usuario ejecuta programas legítimos contaminados.
- Algunas variantes descargan payloads adicionales (troyanos, backdoors, spambots) desde servidores remotos.
- Puede desactivar funciones de seguridad del sistema (antivirus, firewall nativo, actualizaciones) para facilitar la propagación.

Persistencia:
- Crea servicios o procesos residentes en memoria para asegurar su ejecución continua.
- Modifica claves de registro de inicio automático para ejecutarse al arrancar Windows, por ejemplo:
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchost.exe
- Puede modificar permisos o atributos de archivos para dificultar su eliminación.

Hash real de referencia (SHA-256):
- Ejemplo de hash de una muestra pública:
Code:
2b7e4ddedba4b6eddb5ac7f075444ef98a32956543d4eaec2e8e1bc5276b288a

Mitigación con GetOverX Shield 3.0.2.0 o Superior:
  • Antivirus:
    - Ejecutar un escaneo completo del sistema, incluyendo unidades internas y externas.
    - Cuarentenar o eliminar todos los ejecutables contaminados por Sality.
    - En el caso de aplicaciones críticas infectadas, reinstalar desde medios oficiales o copias de seguridad limpias.
    - Repetir el escaneo tras la limpieza y antes de reconectar unidades USB o de red.

  • Firewall:
    - Bloquear conexiones salientes sospechosas asociadas a descarga de payloads o comunicación con C2.
    - Restringir temporalmente el acceso a Internet del equipo infectado mientras se completa la erradicación.
    - Opcionalmente, aislar el host en una red separada (VLAN) hasta confirmar que la infección fue eliminada.

  • HIPS / EDR:
    - Crear reglas de comportamiento que alerten o bloqueen:
    - Procesos que comiencen a modificar múltiples ejecutables .exe y .scr.
    - Creación o modificación de servicios y claves Run sospechosas en el registro.
    - Intentos de desactivar procesos de seguridad (antivirus, firewall, actualizaciones).
    - Habilitar respuesta automática (bloquear y registrar) ante actividad típica de infector de archivos.

  • Sandbox:
    - Ejecutar en Sandbox cualquier archivo sospechoso proveniente de:
    - Sitios de descarga no confiables.
    - “Cracks”, keygens y activadores de software.
    - Observar si el binario intenta:
    - Infectar otros ejecutables del entorno.
    - Crear servicios persistentes.
    - Conectarse a dominios o IPs desconocidos para descargar más código.

  • Secure Erase / Limpieza avanzada:
    - Aplicar borrado seguro en:
    - Muestras de Sality almacenadas para análisis.
    - Copias de “cracks” o instaladores que sirvieron como vector de infección.
    - En infecciones graves y generalizadas, valorar un formateo controlado del sistema tras respaldar solo datos estrictamente necesarios y previamente escaneados.

  • Medidas posteriores al incidente:
    - Verificar y restaurar (o eliminar) las claves de registro de inicio automático modificadas por el malware.
    - Revisar el estado de las soluciones de seguridad y reinstalarlas si fuera necesario.
    - Actualizar todos los sistemas a versiones soportadas, con parches de seguridad al día.
    - Implementar políticas internas que prohíban el uso de software pirata, cracks y keygens.
    - Reforzar el esquema de copias de seguridad periódicas (idealmente offline) y pruebas de restauración.

Notas opcionales:
- Win32.Sality es una familia ampliamente documentada de virus polimórficos de archivos que ha tenido numerosas variantes capaces de instalar troyanos, rootkits y componentes de botnet.]]>