elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Virus, Ni idea de lo que hace.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Virus, Ni idea de lo que hace.  (Leído 489 veces)
**Aincrad**


Desconectado Desconectado

Mensajes: 492



Ver Perfil
Virus, Ni idea de lo que hace.
« en: 13 Febrero 2020, 15:54 »

Hola, bueno Resumo :

Hoy en la mañana cuando enciendo mi PC , note que el proceso Chrome.exe esta abierto y en segundo plano, tambien note que crea otros .exe en el pendrive en una carpeta llamada "Recicle" o algo asi.

al parecer es un stealer de Google Chrome , bueno eso parece , lo raro es que no encontre entradas al registro u alguna manera para que se auto ejecutase al encender mi PC. bueno aqui lo dejo para el que lo quiera analizar :

https://anonfile.com/N6l2B0Y9n2/Virus_rar
« Última modificación: 13 Febrero 2020, 15:55 por **Aincrad** » En línea


@XSStringManolo
Colaborador
***
Desconectado Desconectado

Mensajes: 2.033


Turn off the red ligth


Ver Perfil WWW
Re: Virus, Ni idea de lo que hace.
« Respuesta #1 en: 13 Febrero 2020, 16:21 »

Hola, bueno Resumo :

Hoy en la mañana cuando enciendo mi PC , note que el proceso Chrome.exe esta abierto y en segundo plano, tambien note que crea otros .exe en el pendrive en una carpeta llamada "Recicle" o algo asi.

al parecer es un stealer de Google Chrome , bueno eso parece , lo raro es que no encontre entradas al registro u alguna manera para que se auto ejecutase al encender mi PC. bueno aqui lo dejo para el que lo quiera analizar :

https://anonfile.com/N6l2B0Y9n2/Virus_rar
Crees que es del propio Chrome? O de algún malware que puedas tener instalado?
Miraste en las carpetas típicas?

Chequeaste el tráfico de red? Será un autoupdater o algo así? Tienes el propio Chrome que se te inicia al arrancar? Igual solo cerraste la ventana de Chrome pero mantiene pocresos en el background?

PD: Lo miraste algo? Ten cuidado a ver si se creó dinámicamente y tiene hardcodeado o embebido movidas personales tuya tipo cookies y demás.
« Última modificación: 13 Febrero 2020, 16:24 por @XSStringManolo » En línea

EdePC
Colaborador
***
Desconectado Desconectado

Mensajes: 1.188


Ver Perfil
Re: Virus, Ni idea de lo que hace.
« Respuesta #2 en: 13 Febrero 2020, 18:20 »

Saludos,

- De momento puedo decir que el fichero chrome.exe està firmado digitalmente y parece estar correcto, sin embargo el otro fichero raro es detectado como troyano por mi Windows Defender (Windows 8) actualizado en 04/01/2020 (haber si lo actualizo de paso XD).

- He ejecutado ese archivo raro y no he visto que me cree entradas de AutoArranque en el PC, lo que si he visto es que se "inyecta" (no se si sea el termino correcto) al navegador por defecto, ya sea IE, Chrome (con otro no he probado) y empieza a monitorizar las unidades USB, ha creado el Autorun.inf y el recycler que mencionas, pero no he visto que me oculte carpetas o renombre archivos o nada. Aunque esta USB solo tiene imágenes y carpetas XD.

- Yo usaría Autoruns para buscar donde se está autoarrancando con Chrome en tu caso. ProcessHacker, ProcessMonitor y ProcessExplorer me dicen que el proceso IE o Chrome en tu caso tienen abierto (Handles) el .exe que has subido y que ese mismo es su Parent.

- No había visto algo así, al menos no hasta ahora o que me haya dado cuenta XD, tampoco es que analice mucho malware.
En línea

@XSStringManolo
Colaborador
***
Desconectado Desconectado

Mensajes: 2.033


Turn off the red ligth


Ver Perfil WWW
Re: Virus, Ni idea de lo que hace.
« Respuesta #3 en: 13 Febrero 2020, 18:36 »

Utiliza \MountPointManager
infecta:
C:\Program Files\Microsoft\DesktopLayer.exe
Misma Ruta\px4735.tmp

\SystemRoot\AppPatch\sysmain.sdb

C:\Program Files\Internet Explorer\dmlconf.dat

C:\Program Files\7-Zip\7z.exe
C:\Program Files\7-Zip\7zFM.exe
C:\Program Files\7-Zip\7zG.exe

C:\Program Files\Adobe\ Aquí infecta el ReadMeCS.htm y todas las .dll que pilla.

En Program Files\Common Files\microsoft shared\ infecta el office.

También infecta el framework .net

Se ejecuta al inicio en el registro con la key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit

Cambia las cabeceras PE y se añade al final(infecta) de DesktopLayer.exe, schtasks.exe iexplorer.exe chrome.exe

Después ejecuta el archivo desde la cmd.

Utiliza el método de spread de usbs con autorun. Es decir, es malware de la época del XP xDD

Cómo cojones te infectaste con esto?
« Última modificación: 13 Febrero 2020, 19:08 por @XSStringManolo » En línea

apuromafo CLS


Desconectado Desconectado

Mensajes: 1.393



Ver Perfil WWW
Re: Virus, Ni idea de lo que hace.
« Respuesta #4 en: 13 Febrero 2020, 19:34 »

solo para acotar o agregar mas a lo que escribe @EdePC

cuando un proceso se inyecta a otro ,suele llamarse que infecta o se ejecuta a partir de un proceso abierto se transmiten mensajes, esto es conocido como payload, o un stream, o runpe etc, algunos llaman virus, bots, es segun el accionar del mismo hay muchos conceptos posibles, herramientas conocidas para analizar aquello suelen ser pesieve, o pestudio de  winitor.com, para analizar por encima algun ejecutable solamente, para comportamientos aveces hay que hacer algunas snapshot y capturas

por otro lado el tema de autoruns es algo que lleva años por la red y los recycler igual

casi  siempre es bueno tener algun firewall o antivirus de apoyo, para un correcto uso del pc
Si quieres analizar malware, puedes intentar aprender ingenieria inversa, hay foro para ello

en general, muchas cosas se pueden estudiar solo con dedicación y haciendo pequeños laboratorios de estudio es una forma práctica de ver programas y comportamientos extraños, hay sistemas sandbox como any.run que te registras y mandar la muestra para ser analizada, con analisis de trafico y más, hasta puedes interactuar..pero un paso a la vez, hay que primero entender que tienes..

https://www.osi.es/es/servicio-antibotnet/info/ramnit

Saludos Cordiales Apuromafo
pd: no estoy interesado en estudiar malware, pasaba por ahi leyendo a EdePC..y dije voy a escribir algo poco.
Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.
« Última modificación: 14 Febrero 2020, 03:33 por apuromafo » En línea

**Aincrad**


Desconectado Desconectado

Mensajes: 492



Ver Perfil
Re: Virus, Ni idea de lo que hace.
« Respuesta #5 en: 13 Febrero 2020, 23:40 »

No tengo ni pinche Idea de como me infecte. solo encendi el PC y no te el proceso en segundo plano, revise algunas entradas con Olly y nada mas. tampoco tengo conocimiento avanzado en analisis de malware.

PD: Examine mi pc con mi antivirus (que siempre lo tengo OFF , por que me molesta cuando hago mis hacks.) y bueno :

"Tan solo tube alguna amenazas.... :P"




valla , la ultima vez que escanee mi pc fue hace como 2 años aprox.

Si tienen razon , se Injecta, la Descripcion hacia este tipo de virus es Ramnit.
« Última modificación: 13 Febrero 2020, 23:53 por **Aincrad** » En línea


@XSStringManolo
Colaborador
***
Desconectado Desconectado

Mensajes: 2.033


Turn off the red ligth


Ver Perfil WWW
Re: Virus, Ni idea de lo que hace.
« Respuesta #6 en: 13 Febrero 2020, 23:54 »

Ten cuidado no te joda tu software el av. Los hay muy puñeteros, por ejemplo el kaspersky para android me fundió 5 .apk porque tenías nombres como rat, malware, keylogger, etc. Algunos ni siquiera tenían la funcionalidad de que describían los títulos porque aún estaban en primeras etapas de desarrollo.

Yo para trabajar con malware en windows uso el Free Zone Alarm AV, es compatible con el windows defender, usa el motor del kaspersky, es totalmente gratuito, tiene zona para trabajar con tu malware sin problemas, etc.

Si lo pruebas no lo cambias xD.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Algun virus hace esto¿
Hacking Mobile
Valkyr 0 2,150 Último mensaje 14 Diciembre 2006, 23:51
por Valkyr
Un virus se hace pasar por un mail de la Guardia Civil
Noticias
wolfbcn 0 1,307 Último mensaje 17 Septiembre 2010, 21:18
por wolfbcn
Idea que comente hace tiempo
Foro Libre
crazykenny 8 2,176 Último mensaje 7 Septiembre 2011, 17:42
por Cyril
¿Alguien tiene idea de como se hace esto?
Programación C/C++
Republi 2 711 Último mensaje 4 Septiembre 2016, 06:52
por JavierScars
Virus, Ni idea de lo que hace. II
Análisis y Diseño de Malware
**Aincrad** 1 858 Último mensaje 21 Febrero 2020, 01:55
por FJDA
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines