Ayer estaba huzmeando en la red p2p y encontre un bonito rar con el nombre "Poker Bot"  , lo descargue y pudo mas la Curiosidad que la Precaucion asi que me dije "A ver que hay aqui si me infecto Al diablo" ......

 Aqui una muestra de lo que baje no es el original que baje ayer ya que fue exterminado ...   asi que busque un archivo relacionado cuyo nombre  estaba en el code del bicho y aqui esta ...


  Bueno me quede esperando el cuadro de dialogo e informacion de instalacion de mi "Poker Bot", en vez de eso el instalador abrio el Firefox y me direcciono a una pagina de compras online pero de mi poker Bot nada   ... Asi que dije "Me jodieron", abri el administrador de tareas (Por lo menos abrio) y alli estaba un lindo proces SYSTEM con el nombre wins.exe, ademas note que cada 10 sg s eejecutaba una cosa llamada 7Zip.exe, eran las 2 am asi que apague la perola y me fui a dormir  .........

  Hoy me levanta encendi el PC y note sierta lentitud, el centro de seguridad de windows estaba en rojo y al abrir estaba el firewall de windows desactivado, y mi AV Avira estaba desactualizado, y desactivado  ... lo primero que hice fue actualizar el AV.., hice un scan detecto el wins.exe pero cuando lo estaba borrando la pc se apago   asi que reinicie en modo a prueba de fallos y lo volvi a correr .......

  Al buscar con regedit el famoso wins.exe estaba instalado como servicio con el nombre Windows Internet Name Service, la cual borre por supuesto y tenia una llave para permisos en el firewall de windows , tambien borrado XD....... Alli vi el Directorio donde estaba esa cosa yo crei que era alguna copia de spynet, Biefrost, sub7 a lo mucho el rxbot pero cuando abro el directorio     .....

  

  Vi carpetas como incoming, archivos . meat, nodos.dat   asi que me di cuenta que esto no era algo normal tiene toda la estructura de un Bot P2P   Abri la Carpeta Incoming y miren .......

  

  Esa captura fue sepues que pasara el avira por alli, habian por lo menos 100 archivos rar cuyos nombres Ivan desde Hack MSN.rar hasta Conter Strike 1.rar  , lo mas raro es que revise el emule y esa carpeta no aparece compartida   por lo que intuyo que esa cosa inyecta el emule y envia info de esos archivos para compartir via hooks........

  Luego revise Server.met y encontre esto

  
  Si pueden ver alli hay una lista de Ips que seguro estan infectadas y dado el nombre del archivo apuesto que son supernodos y una de esas ha de ser la del BoboMaster  ......

  Wins.exe es detectado por avira como "TR/ATRAPS G2", y esta cosa instala otro malware "7Zip.exe" que es detectado como "TR/Mowidin G2", No infecta Dispositivos USB ni tampoco ejecutables ........ El archivo nodos.dat esta cifrado   .....

  Al buscar la muestra para subir vi esto ...

  

  Como veran en el circulo se puede ver que hay 561 fuentes disponibles asi que no es muy grande la red si tomamos en cuenta que todas esas pc estan infectadas ..... En mi opinion esta en gestacion   ....

  Alli les dejo el binario para ver que mas le pueden sacar   ........

  No tiene mucho de nuevo lo que me llama la atencion es que es P2P   ....

  Saludos ...

no hiciste un netstat? para ver a que ip va?

 o teconecta auna de las que te aparecio en la lista de server.met?

Yo tú, monto eso en una VM, y pillo todo el tráfico de ese bicho, a ver si puedes dar con algo interesante !

Un saludo..

xD posiblemente simplemente escriben caracteres aleatorios dentro de un archivo... lo compilan con el que quieren compilar y ya tienen un hash diferente.

Como dice RNA, Solo basta con cambiar un byte del contenido del archivo para que cambie el hash.

PD: Queremos ver tráfico x)