elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  @d@ddon.exe
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: @d@ddon.exe  (Leído 9,669 veces)
jamescua

Desconectado Desconectado

Mensajes: 263


Cuanto más se, más grande veo mi ignorancia


Ver Perfil
@d@ddon.exe
« en: 26 Mayo 2010, 03:01 am »

hola amigos ya hice lo de buscar en el foro y no encontre (bueno si busque bien), alguien sabe la forma de eliminar este virus del pc pues se copia por las usb; ya busque en google pero las opciones que encontre no han logrado eliminarlo, tambien trate de restaurar el sistema pero no puedo pues tengo unas aplicaciones que programe en los ultimos dias y no tengo copia de ellas y si las copio se pega este tambien, gracias por su valiosa colaboración.
En línea

bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: @d@ddon.exe
« Respuesta #1 en: 26 Mayo 2010, 03:51 am »

sube el virus a algun lado, sin verlo nadie puede ayudarte.
En línea

[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513

El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: @d@ddon.exe
« Respuesta #2 en: 26 Mayo 2010, 04:24 am »

Yupiiiiiiiiiii :xD un malware para analizar.
En línea

jamescua

Desconectado Desconectado

Mensajes: 263


Cuanto más se, más grande veo mi ignorancia


Ver Perfil
Re: @d@ddon.exe
« Respuesta #3 en: 26 Mayo 2010, 15:01 pm »

pues bien busque en el registro y encontre la entrada la elimine peor sigue ahi, les cuento que como el pc esta en red el virus sigue alli, lo subi a virus total y este fue el resultado

Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.50 2010.04.15 Gen.Trojan!IK
AhnLab-V3 5.0.0.2 2010.04.15 -
AntiVir 7.10.6.109 2010.04.15 TR/Spy.8192.133
Antiy-AVL 2.0.3.7 2010.04.15 -
Authentium 5.2.0.5 2010.04.15 -
Avast 4.8.1351.0 2010.04.14 Win32:VB-OOH
Avast5 5.0.332.0 2010.04.14 Win32:VB-OOH
AVG 9.0.0.787 2010.04.15 -
BitDefender 7.2 2010.04.15 Gen:Trojan.Heur.GZ.amGfbWYhn9c
CAT-QuickHeal 10.00 2010.04.15 -
ClamAV 0.96.0.3-git 2010.04.15 -
Comodo 4606 2010.04.15 Heur.Suspicious
DrWeb 5.0.2.03300 2010.04.15 -
eSafe 7.0.17.0 2010.04.14 Win32.HEURMalware
eTrust-Vet 35.2.7427 2010.04.15 -
F-Prot 4.5.1.85 2010.04.15 -
F-Secure 9.0.15370.0 2010.04.15 Gen:Trojan.Heur.GZ.amGfbWYhn9c
Fortinet 4.0.14.0 2010.04.15 W32/New
GData 19 2010.04.15 Gen:Trojan.Heur.GZ.amGfbWYhn9c
Ikarus T3.1.1.80.0 2010.04.15 Gen.Trojan
Jiangmin 13.0.900 2010.04.15 -
Kaspersky 7.0.0.125 2010.04.15 -
McAfee 5.400.0.1158 2010.04.15 New Malware.d
McAfee-GW-Edition 6.8.5 2010.04.15 Trojan.Spy.8192.133
Microsoft 1.5605 2010.04.15 -
NOD32 5031 2010.04.15 -
Norman 6.04.11 2010.04.15 -
nProtect 2010-04-15.02 2010.04.15 -
Panda 10.0.2.7 2010.04.15 Trj/CI.A
PCTools 7.0.3.5 2010.04.15 -
Prevx 3.0 2010.04.15 -
Rising 22.43.03.04 2010.04.15 Trojan.Win32.Generic.51FDD359
Sophos 4.52.0 2010.04.15 -
Sunbelt 6179 2010.04.15 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.04.15 -
TheHacker 6.5.2.0.262 2010.04.15 -
TrendMicro 9.120.0.1004 2010.04.15 Possible_Otorun8
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.15.2278 2010.04.15 -
VirusBuster 5.0.27.0 2010.04.15 -
Información adicional
File size: 8192 bytes
MD5   : 5b80ab11e472cd8e26ef1ade5855e17e
SHA1  : de419bef0506018388809d88656653ce268303f5
SHA256: c7fc695e08413581a624c6de5d580929547bee27be4e1802385eaadbdb09bd9e
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xAFA0
timedatestamp.....: 0x4B4E21C8 (Wed Jan 13 20:40:56 2010)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xA000 0x2000 0x1200 7.54 7efec95a807984a002c5dcb29df3cb48
.rsrc 0xC000 0x1000 0xC00 2.53 1dd1b0ef037ae21690481d99b2ab4ba7

( 2 imports )

> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> msvbvm50.dll: -

( 0 exports )
 
TrID  : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
Symantec reputation: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
ssdeep: 96:MEN6kDcNm29nYW2KCkqSxgJa7gQ1UiHx/hlsop0n/etQRuL:MGbf22tTSKugkUahaopi/enL
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEiD  : -
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
RDS   : NSRL Reference Data Set
-
espero sugerencias
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: @d@ddon.exe
« Respuesta #4 en: 26 Mayo 2010, 15:09 pm »

Que nos los subas a nosotros!

Mediafire, megaupload, etc, etc

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
jamescua

Desconectado Desconectado

Mensajes: 263


Cuanto más se, más grande veo mi ignorancia


Ver Perfil
Re: @d@ddon.exe
« Respuesta #5 en: 26 Mayo 2010, 15:44 pm »

listo ahi va http://www.megaupload.com/?d=QUL0XKLZ
En línea

bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: @d@ddon.exe
« Respuesta #6 en: 26 Mayo 2010, 17:26 pm »

a mi no me funciona, asi que no puedo darte informacion especifica sobre lo que modifica.... ¿no trae instrucciones para instalar el virus?. la verdad que a ojo lo que hace te lo tiene que eliminar cualquier programa tipo spybot o tu propio antivirus.

el error que me da es  Invalid property value.
« Última modificación: 26 Mayo 2010, 17:28 pm por ctlon » En línea

jamescua

Desconectado Desconectado

Mensajes: 263


Cuanto más se, más grande veo mi ignorancia


Ver Perfil
Re: @d@ddon.exe
« Respuesta #7 en: 3 Junio 2010, 14:21 pm »

que pena tuve que salir de viaje por cosas de trabajo y hasta ahora regreso este bichito crea otra carpeta con el nombre de recycler y un autorun asi:
;ABCDEFJHIJKLMNOPQ
[AutoRun]
;ABADDONDEFJHIJKLMNODDABAPQ
shellexecute=Seguridad\@b@ddon.exe
;ABCDEFJHIJKLMNOPQ

la verdad por el registro encontre el sitio donde se instala pero el ejecutable comotal no se deja eliminar y cada vez que abro la carpeta donde esta se ejecuta pero el AV lo contraresta, pero igual continua alli sin poderlo eliminar, alguna sugerencia
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: @d@ddon.exe
« Respuesta #8 en: 3 Junio 2010, 15:54 pm »

Debes de terminar el proceso antes, sino es lógico que no se deje eliminar :rolleyes:
La verdad que es un virus "chapucero" (y en Autoit), porque mira que crear una carpeta "Seguridad" en la raíz del disco :-X

  • Descarga Process Explorer
  • Usando este termina los procesos ctfmon.exe cuya ruta apunten a la carpeta Seguridad. En tu caso quizás siga llamandose @b@ddon.exe, pero fijate por ambos porque dentro de "Seguridad" encuentras ambos archivos, y hablo en plural además porque inicia de muchas maneras diferentes y podrían haber varios procesos (no he revisado si comprueba el que ya se este ejecutando)
  • Dale un par de minutos a ver si se vuelve a crear.
  • Hecho esto elimina las carpeta C:\Seguridad y C:\Recicled con todo su contenido, fijate que este último termina en D, Recicler es legitimo.
  • Elimina el archivo C:\Bootfont.sys, fijate también que este es sys, el legítimo es bin
  • Elimina el archivo C:\Autorun.inf y revisa tus otras particiones y discos extraíbles en busca del mismo
  • Modifica las dos siguientes llaves de registro a cero
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt (en esta hay un error de programación, porque no tiene el valor que debería, tiene un texto donde va un número :xD)
  • Elimina la clave HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
  • Modifica la clave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, quita lo que hace referencia al "bicho". Por lo general solo dice Explorer.exe, y modifica también la misma llave pero del HKCU
  • Elimina la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Index, que debería de apuntar al "bicho", y de igual modo que antes, también la que esta en HKCU.
Con esto debería de ser suficiente ;D

Saludos

P.D: podría haber dicho que hagas todo esto en modo seguro, pero de cualquier manera el "bicho" se ejecutaría
« Última modificación: 3 Junio 2010, 16:20 pm por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
jamescua

Desconectado Desconectado

Mensajes: 263


Cuanto más se, más grande veo mi ignorancia


Ver Perfil
Re: @d@ddon.exe
« Respuesta #9 en: 4 Junio 2010, 14:13 pm »

hice todo lo que mencionas pero ni asi, el process explorer no lo muestra, ya le corri varios av lo elimina pero se vuelve a crear, le corri tambien anti espias, antimalware, anti troyanos y nada, te comento que se encuentra ubicado en una carpeta que esta compartida en red COMO DIABLOS ELIMINO ESTE BICHITO, ni siquiera se lo que hace, se muestra como un troyano pero ni idea? 
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines