ΏQue es Esto? ‘‘Un Emule Paralelo XD!!

(1/2) > >>

Jaixon Jax:
  Ayer estaba huzmeando en la red p2p y encontre un bonito rar con el nombre "Poker Bot"  ;D, lo descargue y pudo mas la Curiosidad que la Precaucion asi que me dije "A ver que hay aqui si me infecto Al diablo" ......

 Aqui una muestra de lo que baje no es el original que baje ayer ya que fue exterminado ...  :silbar: asi que busque un archivo relacionado cuyo nombre  estaba en el code del bicho y aqui esta ...

Citar

http://www.multiupload.com/UPFEC0XD88

  Bueno me quede esperando el cuadro de dialogo e informacion de instalacion de mi "Poker Bot", en vez de eso el instalador abrio el Firefox y me direcciono a una pagina de compras online pero de mi poker Bot nada  :-[ ... Asi que dije "Me jodieron", abri el administrador de tareas (Por lo menos abrio) y alli estaba un lindo proces SYSTEM con el nombre wins.exe, ademas note que cada 10 sg s eejecutaba una cosa llamada 7Zip.exe, eran las 2 am asi que apague la perola y me fui a dormir  .........

  Hoy me levanta encendi el PC y note sierta lentitud, el centro de seguridad de windows estaba en rojo y al abrir estaba el firewall de windows desactivado, y mi AV Avira estaba desactualizado, y desactivado  ;-)... lo primero que hice fue actualizar el AV.., hice un scan detecto el wins.exe pero cuando lo estaba borrando la pc se apago  :¬¬ asi que reinicie en modo a prueba de fallos y lo volvi a correr .......

  Al buscar con regedit el famoso wins.exe estaba instalado como servicio con el nombre Windows Internet Name Service, la cual borre por supuesto y tenia una llave para permisos en el firewall de windows , tambien borrado XD....... Alli vi el Directorio donde estaba esa cosa yo crei que era alguna copia de spynet, Biefrost, sub7 a lo mucho el rxbot pero cuando abro el directorio  :o  :o .....

  

  Vi carpetas como incoming, archivos . meat, nodos.dat  :-[ asi que me di cuenta que esto no era algo normal tiene toda la estructura de un Bot P2P  :-[ Abri la Carpeta Incoming y miren .......

  

  Esa captura fue sepues que pasara el avira por alli, habian por lo menos 100 archivos rar cuyos nombres Ivan desde Hack MSN.rar hasta Conter Strike 1.rar  :silbar:, lo mas raro es que revise el emule y esa carpeta no aparece compartida  :o por lo que intuyo que esa cosa inyecta el emule y envia info de esos archivos para compartir via hooks........

  Luego revise Server.met y encontre esto

  Citar

ΰ   XP0α   

 88.80.28.48

 88.80.28.48

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    &k‘`5   


 38.107.161.96


 38.107.161.96

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    Τ?Ξ#’   


 212.63.206.35


 212.63.206.35

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    Sι7”   

83.233.30.55

83.233.30.55

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    :χζ’   

58.247.5.230

58.247.5.230

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    sοδ   

 115.239.228.194

 115.239.228.194

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    U(l‡   

85.17.40.108

85.17.40.108

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    Τ³Žˆ   

 212.179.18.142

 212.179.18.142

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    &k .5   


 38.107.160.46


 38.107.160.46

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    XΏδBΗ   


 88.191.228.66


 88.191.228.66

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    ΟΆ‚Ϋ   

 207.182.157.130

 207.182.157.130

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    u‡‰tΈ"   

 117.135.137.116

 117.135.137.116

    
     users     files    
   
    
‡    
ˆ    
‰    
‘ Unknown
‘ Unknown
’    
”    

  Si pueden ver alli hay una lista de Ips que seguro estan infectadas y dado el nombre del archivo apuesto que son supernodos y una de esas ha de ser la del BoboMaster  :laugh:......

  Wins.exe es detectado por avira como "TR/ATRAPS G2", y esta cosa instala otro malware "7Zip.exe" que es detectado como "TR/Mowidin G2", No infecta Dispositivos USB ni tampoco ejecutables ........ El archivo nodos.dat esta cifrado  :-( .....

  Al buscar la muestra para subir vi esto ...

  

  Como veran en el circulo se puede ver que hay 561 fuentes disponibles asi que no es muy grande la red si tomamos en cuenta que todas esas pc estan infectadas ..... En mi opinion esta en gestacion  :silbar: ....

  Alli les dejo el binario para ver que mas le pueden sacar  ;-) ........

  No tiene mucho de nuevo lo que me llama la atencion es que es P2P  :o ....

  Saludos ...

lesone-:
gρaahahaha madre mνa xD

^DeMoN^:
no hiciste un netstat? para ver a que ip va?

 o teconecta auna de las que te aparecio en la lista de server.met?

bizco:
supongo que va por las propias del emule, para no poner archivos sospechosos en tu carpeta el maneja otra para que la gente se baje de tu pc las cosas.

[D4N93R]:
Yo tϊ, monto eso en una VM, y pillo todo el trαfico de ese bicho, a ver si puedes dar con algo interesante !

Un saludo..

Navegación

[0] Índice de Mensajes

[#] Página Siguiente