elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Descifrando Malwared
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Descifrando Malwared  (Leído 3,412 veces)
s3tH

Desconectado Desconectado

Mensajes: 55



Ver Perfil
Descifrando Malwared
« en: 10 Noviembre 2015, 06:02 am »

Que tal miembros del grupo, recientemente me estoy encontrando con archivos que son detectados por el antivirus específicamente por Kasperky, la duda que me surge es: que tipo de ofuscación esta ocupando ya que no veo ningún ejecutable, de antemano gracias:

(Nombre de los archivos)

{44319E6A-60B3-4F99-92F0-E0E07EAA11AF}.{0784CC1E-456D-4BFE-B063-1C3D9CC8F7E5}

IndexerVolumeGuid

desktop.ini

En línea

_TTFH_3500

Desconectado Desconectado

Mensajes: 123



Ver Perfil
Re: Descifrando Malwared
« Respuesta #1 en: 11 Noviembre 2015, 21:29 pm »

Los nombres de esos archivos por sí solo no hacen nada, pero, en la ubicación correcta se convierten en ejecutables, por ejemplo  desktop.ini es un archivo que está oculto en el escritorio.
Dicho archivo contiene algo como:

Código
  1. [.ShellClassInfo]
  2. LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
  3. IconResource=%SystemRoot%\system32\imageres.dll,-183
  4. [LocalizedFileNames]
  5. Windows Media Player.lnk=@%SystemRoot%\system32\unregmp2.exe,-4
  6. Internet Explorer (64-bit).lnk=@%windir%\System32\ie4uinit.exe,-735
  7. Windows Live Mail.lnk=@C:\PROGRA~2\WIC4A1~1\Mail\maillang.dll,-21159
  8. Windows Live Messenger.lnk=@C:\PROGRA~2\WIC4A1~1\MESSEN~1\msgslang.dll,-100
  9. Internet Explorer.lnk=@%windir%\System32\ie4uinit.exe,-734
  10. Paint.lnk=@%SystemRoot%\system32\shell32.dll,-22054

Si cambias el contenido ya tienes un malware, si lo colocas en otra ubicación no se va a ejecutar automáticamente, esto es una buena opción en vez de usar el registro.

El otro archivo {44319E6A-60B3-4F99-92F0-E0E07EAA11AF}.{0784CC1E-456D-4BFE-B063-1C3D9CC8F7E5} también es usado por el sistema, no sé exactamente para qué, pero el panel de control oculto de Win10 y la papelera de reciclaje usan algo parecido, es una manera de ocultar el ejecutable en una ubicación a la que no puedes acceder desde el explorer.exe con una direccion como C:\...\

El ultimo archivo IndexerVolumeGuid, pues no tengo idea.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cifrando y Descifrando C#
.NET (C#, VB.NET, ASP)
junxcosio 6 16,215 Último mensaje 15 Enero 2010, 10:41 am
por junxcosio
Descifrando claves WEP/WPA con Commview for Wi-Fi y Aircrack « 1 2 ... 7 8 »
Wireless en Windows
P4nd3m0n1um 75 235,932 Último mensaje 28 Diciembre 2013, 13:17 pm
por nightcode
Descifrando un algoritmo
PHP
Feedeex 4 4,187 Último mensaje 29 Diciembre 2010, 17:20 pm
por WHK
Chip TPM y descifrando patron
Criptografía
pindonga123 3 32,005 Último mensaje 22 Octubre 2014, 20:53 pm
por pindonga123
[Ayuda] descifrando un virus « 1 2 3 »
Análisis y Diseño de Malware
danny920825 21 18,494 Último mensaje 8 Octubre 2015, 10:09 am
por Mad Antrax
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines