atencion, troyano localizado en launcher de bms4

[fliper]

Hola! desde que instalé el bms4 empezaron una serie de problemillas en el arranque de mi querido XP, se quedaba trabado en el logo XP que debajo tiene las rayitas de carga azúles ( sí Davicico, voy a cambiar a 7 jeje).

El caso es que la cosa fue empeorando, y por fin hoy he localizado al causante. Según el kapersky, el bms4 launcher contiene el siguiente troyano win32. banload.boaj

 

Desconozco si habrán diferentes versiones del bms4, si es así , igual algunas no estarán infectadas, pero a mi me toco la rana.

 

Actualmente sigo luchando con mi ordenador para poder reabrir la conexión a internet, que ha quedado bloqueada.

 

Espero ser el único que ha tenido este problema, y que exista otra instalacion libre de virus, porque sinceramente, me va a joder mucho no poder volar esta preciosidad .

 

Se despide, el primer piloto derribado en Falcon bms4. snif ,snif

[Guest Darkness]

¿De dónde lo bajaste?

[Drakko]

¿De dónde lo bajaste?

+1

[SAFJFA F1 Team]

No, lo que ha pasado es lo siguiente:

Cuando te bajaste el BMS, el sistema detectó que tenías instalado el XP, y entonces introdujeron un pequeño virus para que así tuvieses problemas y decidieses pasarte al W7. En el fondo lo hacen por nuestro bien, para que nos pasemos al W7 y no estemos en el pasado con el XP, todo sea por un mundo más felíz.

 

 

Ahora en serio, ni idea, que yo sepa ninguno hemos tenido problemas de virus con el BMS.

 

Saludos

Edited September 12, 2011 by SAFJFA F1 Team

[Trilogy]

Confirmo que con el Kasper Sky no he detectado ningun virus ni troyano en el Falcon. (Al menos ninguno que no tuviera ya )

[fliper]

El enlace da la descarga es este http://www.veterans-...ad.php?view.134 .

Este troyano es un pelin cabroncete. Yo pasé el antivirus en toda la carpeta del bms4, se lo pase al archivo zip recien bajado, le pase el malware. Y no me dió nada, todo era correcto. Pero por lo visto al usar el launcher es cuando sale el "bicho" . Cada vez que se usa el launcher, sale. Miré si era problema del disco duro con las herramientas de seagate y todo ok, Probe restaurar sistema a un punto anterior, y siguió el problema. Luego hice la reparación de windows desde la consola cmd, y siguió el problema, despues opté por la gran machacada, reparar desde el cd de isntalación de windows, porque ya no me arrancaba ni cargando la ultima configuración segura. Despues de esto, y pasar el el trojan remover, no me detectó nada, pero claro, no se podía actualizar sus bases porque la conexión a internet estaba capada así, que con unas bases del 2010 no era muy fiable el tema. Decidí iniciar el bms4 lo tuve abierto un par de minutos y al cerrar el juego , entonces fue cuando KApersky me dió la alerta el solito del troyano en el launcher. Lo eliminó, y ahora está en proceso de busca y captura por el disco duro. Por medio he tenido que reinstalar drivers y demas historias.... total anoche estuve hasta las 4:30 de la mañana, y hoy estoy desde la 10:00 y aún no he acabado.

De aquí a un par de horitas os diré el que

Edited September 12, 2011 by fliper

[Barbo]

El enlace da la descarga es este http://www.veterans-...ad.php?view.134 .

Este troyano es un pelin cabroncete. Yo pasé el antivirus en toda la carpeta del bms4, se lo pase al archivo zip recien bajado, le pase el malware. Y no me dió nada, todo era correcto. Pero por lo visto al usar el launcher es cuando sale el "bicho" . Cada vez que se usa el launcher, sale. Miré si era problema del disco duro con las herramientas de seagate y todo ok, Probe restaurar sistema a un punto anterior, y siguió el problema. Luego hice la reparación de windows desde la consola cmd, y siguió el problema, despues opté por la gran machacada, reparar desde el cd de isntalación de windows, porque ya no me arrancaba ni cargando la ultima configuración segura. Despues de esto, y pasar el el trojan remover, no me detectó nada, pero claro, no se podía actualizar sus bases porque la conexión a internet estaba capada así, que con unas bases del 2010 no era muy fiable el tema. Decidí iniciar el bms4 lo tuve abierto un par de minutos y al cerrar el juego , entonces fue cuando KApersky me dió la alerta el solito del troyano en el launcher. Lo eliminó, y ahora está en proceso de busca y captura por el disco duro. Por medio he tenido que reinstalar drivers y demas historias.... total anoche estuve hasta las 4:30 de la mañana, y hoy estoy desde la 10:00 y aún no he acabado.

De aquí a un par de horitas os diré el que

 

No tiene mucho sentido, si al ejecutar el Launcher, el troyano aparece es que ya esta residente en el sistema. Esto puede ser debido a que venia con el paquete de instalacion, que por lo visto no es el caso ya que analizaste el paquete completo, o a que alguna de las instrucciones que tiene en memoria lo lancen y ya estuviese anidado en tu sistema. Podria tener que ver con ... casi todo, directx, llamadas a memoria, llamadas a instrucciones del procesador, joer se me ocurre que incluso arranque de algun servicio ya que puedes emplear diversos planes de energia al lanzar una aplicacion. He estado preguntando a los pocos conocidos que me quedan en la comunidad falcon y nadie sabe na de na, no lo han detectado pero seguire el tema con interes

[Barbo]

Te añado informacion sobre el bichito en cuestion:

 

Nombre: TrojanDownloader.Banload.QM

Nombre NOD32: Win32/TrojanDownloader.Banload.QM

Tipo: Caballo de Troya

Alias: Banload.QM, Downloader.Banload.qm, Downloader.Generic.OYD, PWS-Banker.dldr, TR/Dldr.Banload.QM, Troj/Bnksa-Fam, Trojan.Downloader.Banload.Qm, Trojan.Downloader.Banload-11, Trojan.PWS.Banker.1454, Trojan/Dldr.Banload.QM, Trojan/Downloader.Banload.qm, TrojanDownloader.Banload.qm, TrojanDownloader.Win32.Banload, Trojan-Downloader.Win32.Banload.qm, W32/Banload.ALM, W32/Banload.QM!dldr, Win32/DelfBanload.Variant!Trojan, Win32/TrojanDownloader.Banload.QM, Win32:Delf-EQ

Fecha: 9/feb/06

Plataforma: Windows 32-bit

Tamaño: 171,008 bytes (PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT)

 

Se trata de un caballo de Troya del tipo downloader (descargador de archivos), enviado como un enlace en mensajes de MSN Messenger que simulan provenir de contactos conocidos.

 

Si el usuario acepta el enlace y hace clic en él, entonces se descarga y ejecuta el troyano propiamente dicho.

 

Cuando el archivo descargado es ejecutado, éste descarga a su vez, sin el conocimiento del usuario, otro determinado archivo desde un sitio Web.

 

Al momento actual, este segundo archivo es un troyano capaz de robar información financiera, suplantando las páginas verdaderas de numerosos y conocidos bancos on-line.

 

 

Fuente: http://www.vsantivirus.com/trojandownloader-banload-qm.htm

 

Como recomendacion, deberias revisar los archivos recibidos por MSN, si utlizas banca online seria conveniente cambiar tus contraseñas despues de seguir los pasos para la desinfeccion.

[Zaitsev]

Adjunto el hilo en Benchmarksims acerca de este problema por si aclara alguna cosa.

 

http://www.benchmarksims.org/forum/showthread.php?5801-Launcher.exe-Trojan-Downloader.Win32.Banload.boaj-Detected-by-Kaspersky

 

Mi apuesta es que se trata de un falso positivo, pero no está de más asegurarse.

[fliper]

asi que el mesenger.... bueno no recuerdo una circusntancia de ese tipo, pero no se puede decir que no. No obstante es muy raro que kapersky señale justo al launcher de la cosa ultima que instalé...... joder, y ahora no puedo abrir internet.... los joisticks no me van.... en fin una mierda.

[xavieret]

Bueno, bueno.... que putada, a mi también me detecta ese troyano ahora mismo, pero me lo ha desinfectado a la perfección. Utlizo Kaspersky. BUFFFFFFF!!!

Edited September 12, 2011 by xavieret

[Vatt]

A los que nos da este error una consulta, lo teneis por descarga directa o torrente??? Yo fue descarga pero ahora no recuerdo donde.

 

Y por lo que veo, nos da ese error a todos los que usamos kaspersky, suena a demasiada casualidad.

 

Bueno, bueno.... que putada, a mi también me detecta ese troyano ahora mismo, pero me lo ha desinfectado a la perfección. Utlizo Kaspersky. BUFFFFFFF!!!

 

A mi me dice que no puede desinfectar, que lo tiene que eliminar y desde entonces me dice que tengo que restaurar el sistema y no se que mas.

[Tarres]

También me acaba de dar ese error el antivirus (Panda 2012). Me lo ha colocado en cuarentena, no me ha especificado el posible virus, y como estaba probando el programa lo ha "enviado automáticamente para análisis".

Es curioso, el aviso me lo ha dado tras la actualización de hoy del antivirus.

 

Sistema: W7-64 bits actualizado y antivirus Panda 2012 actualizado (vale, si ya se lo del Panda y sus cosas y pesadez)

 

El BMS descargado por torrent, el correo bastante controlado y no utilizo Messenger y similares.

 

Un saludo y gracias por el aviso.

[fliper]

Señores, siento comunicaros que el final del tema es totalmente desastroso en mi caso. he hecho de todo, pero el bicho me ha dejado tocado, hasta el punto de que el ordenador me ha entrado en un ciclo de arranque paro infinito. Así que me va a tocar formateo, con el putadon que significa de reinstalar toooooooooooodo de nuevo. Yo tambien tengo kapersky, y he usado de tod, msm cleaner, malware, ccleaner,trojan remove, en fin. una lastima, y una putada.

Revisar bien vuestras maquinas.

[P1KW]

Buenas. Estoy en la misma situacion.

 

W7-64, Kaspersky actualizado y no utilizo Messenger.

 

De momento dos escaneos con reinicio y recomendacion de restaurar sistema. He eliminado el directorio de F4.

 

Saludos.

[Drakko]

Por los foros de esta gente comentan que es un falso positivo y que añadiendo el ejecutable a la lista de excluidos para revisar por el antivirus se soluciona en muchos casos. Yo mismo he tenido ese problema y siguiendo esas instrucciones parece que se ha solucionado (Toquemos madera ...). Tambien digo otra cosa, de falso positivo lo vuestro no tiene pinta si andais con esos problemas... Vattesta en las mismas y ahora debe ya tener medio listo el formateo tambien...

 

Al parecer el golpe tambien lo han recibido por bastantes escuadrones y con multitud de pilotos y se sigue trabajando en ello para ver que pasa. Entre ellos nosotros

 

Siento mucho que algunos de vosotros tengais/tengamos el problema, pero no dudeis que nos haremos con el en cuanto sea posible. Pensad que si pudimos con el OF, esto será pecata minuta, pero necesitamos algo de tiempo para comprender que ha fallado y como solucionarlo...

[Drakko]

También me acaba de dar ese error el antivirus (Panda 2012). Me lo ha colocado en cuarentena, no me ha especificado el posible virus, y como estaba probando el programa lo ha "enviado automáticamente para análisis".

Es curioso, el aviso me lo ha dado tras la actualización de hoy del antivirus.

 

Sistema: W7-64 bits actualizado y antivirus Panda 2012 actualizado (vale, si ya se lo del Panda y sus cosas y pesadez)

 

El BMS descargado por torrent, el correo bastante controlado y no utilizo Messenger y similares.

 

Un saludo y gracias por el aviso.

 

Misma situación que la mia, y facil solucion... Dile que no le reconozca al panda y se acabo por ahora el problema.

[Nyko]

En principio, hoy me estuvo tirando avisos el Avast al abrirlo diciendo que es un archivo pontencial...etc..etc, pero es cuestión de reconocerlo para abrirlo normalmente y sin problemas. Ahora, avisos de troyanos y cosas raras no tuve hasta ahora, cosa que es raro.

 

Estuve probando entrar, hacer una campaña y salir, y ningun problema.

[fliper]

.....menuda mierda, con lo guapo que está..... Bueno, a ver si podeis correr la voz al maximo, yo quitaría de momento el tema de la noticia en el foro de oh dios mio! por el de atención no piqueis! a ver si podemos evitar que mas compañeros caigan en este pozo negro, lento, y cansino del reformateo.

 

Por cioerto, estoy por cambiar de mi xp al w7..... y no me acabo de decidir.... lo que si lo hago seguro seguire con 32 bits por el tema de problemas de dirvers y demas, no se si estaré acertado.

 

Una cosa..... estos virus en principio afectan solo al disco en el que tengas el S.O ?

[Barbo]

Kaspersky siempre ha sido conocido por ser un gran antivirus para la deteccion y horrible para la desinfectacion (es como el caballo de atila el tio carga contra todo) el caso es que aun sigo intentando enterarme si se trata de un falso positivo, o no. He estado buscando en mi los archivos que crea el virus para funcionar y monitorizando los puertos de mi pc a ver si veo actividad, pero nada, ni ha creado archivos, ni veo trafico inusual. Cierto que añadir una regla de excepcion hace que el antivirus deje de buscar en ese directorio, pero si realmente tiene un troyano, eso no es solucion. Sigo revisando cosas

[Tarres]

Me acabo de acordar que en una de las actualizaciones del ROF me dio también un aviso igual a este y,como en éste, no me dejaba ignorarlo ni aun desinfectando. Tras un par de semanas, el archivo dejó de ser sospechoso para el antivirus vía actualización del propio antivirus.

 

Anoche pude lanzar el Falcon vía exe sin pasar por el Launcher y no me dio ningún error ni aviso, ni del Falcon ni del Panda, lo mismo que me pasó con el ROF.

 

Si me contestan algo de soporte al respecto del archivo en cuestión enviado ya os lo hago saber.

[Barbo]

He leido algo sobre el tema del encriptado de datos que han empleado para tocar el BMS que provoca un falso positivo al usar tecnicas heuristicas de busqueda, no obstante internet es como bajar al bar a pedir una opinion, to dios tiene una ,a cual mas disparatada

Edited September 13, 2011 by Barbo

[HardRic]

...Por cioerto, estoy por cambiar de mi xp al w7..... y no me acabo de decidir....

Vamos a ver, instalalo ya o te rompo las piernas, por favor. Ante todo educación.

 

 

...lo que si lo hago seguro seguire con 32 bits por el tema de problemas de dirvers y demas, no se si estaré acertado.

Lo primero es saber que micropocesador y cuanta memoria ram tienes.

 

La una de las principales diferencias entre uno y otro es la cantidad de memoria ram que es capaz de gestionar, un sistema de 32 bits solo puede gestionar hasta 3,5Gb de ram.

 

Si tienes un micropocesador de 32 bits no hay que preguntar más, simplemente solo podras instalar la version de 32 bits, solo podras usar hasta 3,5Gb de ram.

 

Si tienes un micropocesador de 64 bits y menos de 4Gb de ram, tendras que instalar el de 32 bits, ya que la versión de 64 bits requiere tener 4Gb como minimo.

 

Si tienes un micropocesador de 64 bits y 4Gb o más de ram, instala el de 64 bits, ya que instalar el de 32 bits sería como tener a Usain Bolt en 100 metros lisos corriendo con botas de buzo.

 

El tema de los drives ya es otro tema, pero no creo que tengas perifericos tan antiguos como para que no existan drivers de 64 bits.

 

Ten en cuenta que una de las principales premisas de la informática es "actualizarse o morir"

 

He leido algo sobre el tema del encriptado de datos que han empleado para tocar el BMS que provoca un falso positivo al usar tecnicas heuristicas de busqueda, no obstante internet es como bajar al bar a pedir una opinion, to dios tiene una ,a cual mas disparatada

Si es que las opiniones son como los culos, todo el mundo tiene una.

Edited September 13, 2011 by HardRic

[fliper]

bueno, si, mi procesador es de 64 bits, y actualmente tengo 4g de memoria ddr2, asi que .....igual hasta os hago caso! jajajaja.

 

Esta tarde he intentado machacar de nuevo el xp, antes de formatearlo y tal, por diversión, vamos por tocarle los huev´s un poco, jajaja. El caso es que me ha arrancado , he intentado bajarme el internet explorer 8 desde la pagina oficial de microsoft, y en el analisis previo que te hace de tu equipo me sale una aspita blanca sobre fondo rojo mu mona , diciendome que ha fallado en la busqueda de sofware malintencionado en el equipo... y se acabo la instalación..... Osea que despues de pasar kapersky, malware, trojanodownloader, mnm nose qué..... lo que sea sigue alli dentro..... Puede que sea una paradója heurística, pero es muuuu cojonera.

[Guest Darkness]

Manda el archivo a Kaspersky que te dirán si es un falso positivo y lo arreglarán si es así. Si es un troyano pues ya sabes, a pasarse a Mac