elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Muestras De virus reales
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Muestras De virus reales  (Leído 4,105 veces)
@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Conectado Conectado

Mensajes: 2.277


Turn off the red ligth


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #10 en: 19 Junio 2019, 00:04 am »

Tengo un OS que no hace nada. Es decir, no usa ningún archivo por si solo. Se queda pausado. Con muchas herramientas. Y estoy ahora mismo con el virus analizando procesos, archivos abiertos, escritos, etc. En nada emito un report completo de toda la info que saque. Estoy con ello ahora.
En línea

@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Conectado Conectado

Mensajes: 2.277


Turn off the red ligth


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #11 en: 19 Junio 2019, 01:11 am »

De momento encontré varias cosas sospechosas. Pero debo contrastar esta información para eliminar la posibilidad de que ya tuviese malware en el equipo. Crearé otra máquina virtual limpia que tengo escaneada. Sigo haciendo pruebas de todos los archivos del sistema buscando modificaciones. De momento tengo lo siguiente:

XURU.ZIP No DOS or PE signature found. This file is not a valid 32-bit or 64-bit Windows module.
Metí dentro todo, archivos comprimidos, sin comprimir, con contraseña y sin contraseña.

Me encontré un hilo raro:
Name: System [4:160]
Type: Thread
Value: BB33E096
(Por mirar)

Registro:
REG1: CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG2:TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG3: Interface\{3F4DACA0-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG4: \VBScript.RegExp (Malware.Packer.Gen)

He detectado varios archivos:
msxml2.dll Malware Package
vbscript.dll Malware Package
wzcsvc.dll (Trojan.FakeAV)
sfcfiles.dll (Trojan.Patched)
 
Alguno puede que ya lo tuviese. Más adelante lo compruebo. Que este pc no toca ninguna red ni nada externo, asique no lo desinfecto si no me da problemas. Se que tengo varios keyloggers corriendo y puede que ek fajeav tambien lo tuviese pero ni me he molestado en desinfectar el sistema.



Los tenía todos. El archivo a analizar está limpio. No hay nada oculto. Solo esos scripts que no puedo ejecutar en mi sistema porque no tengo las dll necesarias.
A ver si encontrais algo. Puedes pasar los logs que decias de virustotal?
Los scripts no sé que hacen, pero hay que ejecutarlos a mano. Asique un virus como tal...
Podría ser un módulo, pero de por si solos no hacen nada de nada.
A ver si alguien que entienda los scripts .vb sabe lo que son.
« Última modificación: 19 Junio 2019, 01:57 am por string Manolo » En línea

Flamer


Desconectado Desconectado

Mensajes: 1.036


crack, crack y mas crack...


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #12 en: 19 Junio 2019, 18:12 pm »

una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado


pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso


a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link

ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso

http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rar

En línea

Machacador


Desconectado Desconectado

Mensajes: 4.082


Monetizando mi gruñido... Grrrrrrrrrr...


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #13 en: 19 Junio 2019, 18:27 pm »

una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado


pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso


a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link

ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso

http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rar



Pues si existen los link de descarga automática, pero se siguen unos pasos previos para llegar a ellos como por ejemplo este: https://tb.rg-adguard.net/dl.php?go=c266e1a8

Si le das clik te empezara una descarga del Windows 10 1809, pero el link no esta por allí disponible sino que yo lo saque de un servicio de descargas luego delos mencionados pasos previos...

pero de seguro no faltara quien ponga link así en páginas para meterle virus a los incautos... pero si uno tiene gestores de descargas puede parar eso que no ha solicitado descargar, o si ve la descarga abajo en el navegador también la puede detener...

 :rolleyes: :o :rolleyes:

Saludos.

En línea

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"
Flamer


Desconectado Desconectado

Mensajes: 1.036


crack, crack y mas crack...


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #14 en: 19 Junio 2019, 18:52 pm »

si los meten como publicidad en los enlaces acortados pero creo que pagan para eso.....yo estaba visitando un enlace acortado para descargar una película cuando se descargo el archivo rar que menciono al principio
En línea

@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Conectado Conectado

Mensajes: 2.277


Turn off the red ligth


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #15 en: 20 Junio 2019, 19:10 pm »

una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado


pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso


a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link

ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso

http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rar


A mi no me descarga nada automaticamente.
Le tengo puesto para elegir la carpeta de descarga y así siempre me pregunta.
Pero ese link ni descarga automático.
En línea

Flamer


Desconectado Desconectado

Mensajes: 1.036


crack, crack y mas crack...


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #16 en: 20 Junio 2019, 21:28 pm »

A mi no me descarga nada automaticamente.
Le tengo puesto para elegir la carpeta de descarga y así siempre me pregunta.
Pero ese link ni descarga automático.


como dije eso es dependiendo de como tengas el navegador configurado y por defecto ami chrome no me pide permiso de aguardarlo o de elegir la carpeta donde se almacenara

varios navegadores traen eso por defecto y al visitar un link como el que deje arriba se descarga sin permiso

saludos
En línea

Hason


Desconectado Desconectado

Mensajes: 653


Keep calm and use the spiritual force


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #17 en: 24 Junio 2019, 13:34 pm »

mmmmmm

Acabo de entrar en la nueva página de descarga jeje.

Pues ya me ha hecho algo.

Cuento:

He abierto la página, pero no se me ha descargado autómaticamente, debia darle yo.

Pero no lo he descargado, me he fijado en la carpeta temp, y me habia generado un archivo raro.

Luego de eso, parecia funcionar todo correcto, pero no podia entrar en la página el hacker, me mostraba caida, no podia entrar de ninguna forma  :huh:

He hecho algo que alomejor no hacia falta, pero le he borrado de appdata todos los rastros del navegador , pero tampoco podia entrar a el hacker y e perdido todos los favoritos y contraseñas guardadas.

Nada, al final, he cogido la partición donde estaba instalado windows, y le he cambiado todos los permisos otra vez de todo, y ahora ya puedo entrar al hacker.

¿Que extraño no?

No llegué a descargar el archivo.

Y ya no lo descargo.

Aún me da algo de problemas, ahora mismo estaba caida la página el hacker , pero ya puedo entrar otra vez  :rolleyes: veré si me sigue dando problemas o no.

Saludos.

« Última modificación: 24 Junio 2019, 14:01 pm por Hason » En línea

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/
@XSStringManolo
<svg/onload=alert()>
Colaborador
***
Conectado Conectado

Mensajes: 2.277


Turn off the red ligth


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #18 en: 24 Junio 2019, 14:32 pm »

Muchos virus suelen usar la carpeta temp. Pero esos archivos están limpios. Les hice scan con más de 10 herramientas. Miré procesos, cambios en archivos, uso de memoria en tiempo real. Filtros a más de 200 procesos+ servicios del sistema, etc. Los pasé por virus total, etc. Todo limpio. Tanto los archivos originales del server como los que pasó otro usuario y absolutamente nada de nada. Me tiré 3 horas analizando y con escaneres corriendo. Si hay algo no funciona en mi sistema a pesar de ser bastante vulnerable.

Se crean archivos temporales todo el rato. Muchos programas se olvidan de borrarlos. Si alguien encuentra algo, que detalle como y lo que. Porque ya estaría en su sistema. Ni falsos positivos saqué.
En línea

Hason


Desconectado Desconectado

Mensajes: 653


Keep calm and use the spiritual force


Ver Perfil WWW
Re: Muestras De virus reales
« Respuesta #19 en: 24 Junio 2019, 14:53 pm »

Buenas.

Yo no he descargado el archivo en si, por lo que no se nada ni he analizado nada.

Yo solo me ha creado un archivo en temp, justo al abrir la página, pero con permisos de trusted installer y no habia ningún usuario ajeno.

Lo he borrado yo rápidamente, alomejor lo hubiera podido copiar pegar y subirlo para ver que era... ahora he entrado otra vez, pero ya no me aparece el archivo temporal...

Aparentemente ningún problema ahora.
Mi equipo es bastante vulnerable, pero bueno, funciona ok parece.
Si os paso una captura del visor de eventos alucinais con la de errores que hay...también por que he modificado muchas cosas.

No se si me ha tocado algo en el registro o algo más, ya veré...yo no uso antivirus, solo tengo el repair kit de pago crakeado y limpiadores de registro.

Aunque si tengo muchos programas de analisis de rootkits, kernel, e historias.

Bueno, lo dejo como un susto.

Tu sabes mucho más que yo, tal vez un ataque dirigido a mi equipo a sabiendas que podia entrar  a la página, aprovechando mis vulnerabilidades, no se, ni idea.

Saludos.
En línea

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/
Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Ayuda] Enviar muestras de virus adjuntas en el mail los envia pero.....
PHP
Red Mx 5 1,876 Último mensaje 28 Agosto 2007, 17:19 pm
por Red Mx
hacer un generador de id con muestras
Ingeniería Inversa
robertofd1995 4 3,735 Último mensaje 31 Octubre 2013, 15:13 pm
por robertofd1995
Descargar Virus reales
Seguridad
Rnovatis 1 4,232 Último mensaje 3 Octubre 2016, 02:28 am
por GreenTick
Muestras de malware muy variado
Análisis y Diseño de Malware
r32 0 695 Último mensaje 25 Diciembre 2018, 02:18 am
por r32
Muestras .apk para analizar
Análisis y Diseño de Malware
r32 0 1,685 Último mensaje 8 Enero 2019, 17:30 pm
por r32
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines