Autor
|
Tema: Muestras De virus reales (Leído 10,511 veces)
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.399
Turn off the red ligth
|
Tengo un OS que no hace nada. Es decir, no usa ningún archivo por si solo. Se queda pausado. Con muchas herramientas. Y estoy ahora mismo con el virus analizando procesos, archivos abiertos, escritos, etc. En nada emito un report completo de toda la info que saque. Estoy con ello ahora.
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.399
Turn off the red ligth
|
De momento encontré varias cosas sospechosas. Pero debo contrastar esta información para eliminar la posibilidad de que ya tuviese malware en el equipo. Crearé otra máquina virtual limpia que tengo escaneada. Sigo haciendo pruebas de todos los archivos del sistema buscando modificaciones. De momento tengo lo siguiente:
XURU.ZIP No DOS or PE signature found. This file is not a valid 32-bit or 64-bit Windows module. Metí dentro todo, archivos comprimidos, sin comprimir, con contraseña y sin contraseña.
Me encontré un hilo raro: Name: System [4:160] Type: Thread Value: BB33E096 (Por mirar)
Registro: REG1: CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)
REG2:TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)
REG3: Interface\{3F4DACA0-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)
REG4: \VBScript.RegExp (Malware.Packer.Gen)
He detectado varios archivos: msxml2.dll Malware Package vbscript.dll Malware Package wzcsvc.dll (Trojan.FakeAV) sfcfiles.dll (Trojan.Patched) Alguno puede que ya lo tuviese. Más adelante lo compruebo. Que este pc no toca ninguna red ni nada externo, asique no lo desinfecto si no me da problemas. Se que tengo varios keyloggers corriendo y puede que ek fajeav tambien lo tuviese pero ni me he molestado en desinfectar el sistema.
Los tenía todos. El archivo a analizar está limpio. No hay nada oculto. Solo esos scripts que no puedo ejecutar en mi sistema porque no tengo las dll necesarias. A ver si encontrais algo. Puedes pasar los logs que decias de virustotal? Los scripts no sé que hacen, pero hay que ejecutarlos a mano. Asique un virus como tal... Podría ser un módulo, pero de por si solos no hacen nada de nada. A ver si alguien que entienda los scripts .vb sabe lo que son.
|
|
« Última modificación: 19 Junio 2019, 01:57 am por string Manolo »
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
Flamer
Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rar
|
|
|
En línea
|
|
|
|
Machacador
Desconectado
Mensajes: 5.029
El original...
|
una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rarPues si existen los link de descarga automática, pero se siguen unos pasos previos para llegar a ellos como por ejemplo este: https://tb.rg-adguard.net/dl.php?go=c266e1a8Si le das clik te empezara una descarga del Windows 10 1809, pero el link no esta por allí disponible sino que yo lo saque de un servicio de descargas luego delos mencionados pasos previos... pero de seguro no faltara quien ponga link así en páginas para meterle virus a los incautos... pero si uno tiene gestores de descargas puede parar eso que no ha solicitado descargar, o si ve la descarga abajo en el navegador también la puede detener... Saludos.
|
|
|
En línea
|
|
|
|
Flamer
Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
si los meten como publicidad en los enlaces acortados pero creo que pagan para eso.....yo estaba visitando un enlace acortado para descargar una película cuando se descargo el archivo rar que menciono al principio
|
|
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.399
Turn off the red ligth
|
una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rarA mi no me descarga nada automaticamente. Le tengo puesto para elegir la carpeta de descarga y así siempre me pregunta. Pero ese link ni descarga automático.
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
Flamer
Desconectado
Mensajes: 1.052
crack, crack y mas crack...
|
A mi no me descarga nada automaticamente. Le tengo puesto para elegir la carpeta de descarga y así siempre me pregunta. Pero ese link ni descarga automático.
como dije eso es dependiendo de como tengas el navegador configurado y por defecto ami chrome no me pide permiso de aguardarlo o de elegir la carpeta donde se almacenara varios navegadores traen eso por defecto y al visitar un link como el que deje arriba se descarga sin permiso saludos
|
|
|
En línea
|
|
|
|
Hason
Desconectado
Mensajes: 790
Keep calm and use the spiritual force
|
mmmmmm Acabo de entrar en la nueva página de descarga jeje. Pues ya me ha hecho algo. Cuento: He abierto la página, pero no se me ha descargado autómaticamente, debia darle yo. Pero no lo he descargado, me he fijado en la carpeta temp, y me habia generado un archivo raro. Luego de eso, parecia funcionar todo correcto, pero no podia entrar en la página el hacker, me mostraba caida, no podia entrar de ninguna forma He hecho algo que alomejor no hacia falta, pero le he borrado de appdata todos los rastros del navegador , pero tampoco podia entrar a el hacker y e perdido todos los favoritos y contraseñas guardadas. Nada, al final, he cogido la partición donde estaba instalado windows, y le he cambiado todos los permisos otra vez de todo, y ahora ya puedo entrar al hacker. ¿Que extraño no? No llegué a descargar el archivo. Y ya no lo descargo. Aún me da algo de problemas, ahora mismo estaba caida la página el hacker , pero ya puedo entrar otra vez veré si me sigue dando problemas o no. Saludos.
|
|
« Última modificación: 24 Junio 2019, 14:01 pm por Hason »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.399
Turn off the red ligth
|
Muchos virus suelen usar la carpeta temp. Pero esos archivos están limpios. Les hice scan con más de 10 herramientas. Miré procesos, cambios en archivos, uso de memoria en tiempo real. Filtros a más de 200 procesos+ servicios del sistema, etc. Los pasé por virus total, etc. Todo limpio. Tanto los archivos originales del server como los que pasó otro usuario y absolutamente nada de nada. Me tiré 3 horas analizando y con escaneres corriendo. Si hay algo no funciona en mi sistema a pesar de ser bastante vulnerable.
Se crean archivos temporales todo el rato. Muchos programas se olvidan de borrarlos. Si alguien encuentra algo, que detalle como y lo que. Porque ya estaría en su sistema. Ni falsos positivos saqué.
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
Hason
Desconectado
Mensajes: 790
Keep calm and use the spiritual force
|
Buenas.
Yo no he descargado el archivo en si, por lo que no se nada ni he analizado nada.
Yo solo me ha creado un archivo en temp, justo al abrir la página, pero con permisos de trusted installer y no habia ningún usuario ajeno.
Lo he borrado yo rápidamente, alomejor lo hubiera podido copiar pegar y subirlo para ver que era... ahora he entrado otra vez, pero ya no me aparece el archivo temporal...
Aparentemente ningún problema ahora. Mi equipo es bastante vulnerable, pero bueno, funciona ok parece. Si os paso una captura del visor de eventos alucinais con la de errores que hay...también por que he modificado muchas cosas.
No se si me ha tocado algo en el registro o algo más, ya veré...yo no uso antivirus, solo tengo el repair kit de pago crakeado y limpiadores de registro.
Aunque si tengo muchos programas de analisis de rootkits, kernel, e historias.
Bueno, lo dejo como un susto.
Tu sabes mucho más que yo, tal vez un ataque dirigido a mi equipo a sabiendas que podia entrar a la página, aprovechando mis vulnerabilidades, no se, ni idea.
Saludos.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
[Ayuda] Enviar muestras de virus adjuntas en el mail los envia pero.....
PHP
|
Red Mx
|
5
|
2,827
|
28 Agosto 2007, 17:19 pm
por Red Mx
|
|
|
hacer un generador de id con muestras
Ingeniería Inversa
|
robertofd1995
|
4
|
5,141
|
31 Octubre 2013, 15:13 pm
por robertofd1995
|
|
|
Descargar Virus reales
Seguridad
|
Rnovatis
|
1
|
5,667
|
3 Octubre 2016, 02:28 am
por GreenTick
|
|
|
Muestras de malware muy variado
Análisis y Diseño de Malware
|
r32
|
0
|
2,279
|
25 Diciembre 2018, 02:18 am
por r32
|
|
|
Muestras .apk para analizar
Análisis y Diseño de Malware
|
r32
|
0
|
3,214
|
8 Enero 2019, 17:30 pm
por r32
|
|