Autor
|
Tema: Virus, Ni idea de lo que hace. (Leído 3,135 veces)
|
**Aincrad**
|
Hola, bueno Resumo : Hoy en la mañana cuando enciendo mi PC , note que el proceso Chrome.exe esta abierto y en segundo plano, tambien note que crea otros .exe en el pendrive en una carpeta llamada "Recicle" o algo asi. al parecer es un stealer de Google Chrome , bueno eso parece , lo raro es que no encontre entradas al registro u alguna manera para que se auto ejecutase al encender mi PC. bueno aqui lo dejo para el que lo quiera analizar : https://anonfile.com/N6l2B0Y9n2/Virus_rar
|
|
« Última modificación: 13 Febrero 2020, 15:55 pm por **Aincrad** »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.399
Turn off the red ligth
|
Hola, bueno Resumo : Hoy en la mañana cuando enciendo mi PC , note que el proceso Chrome.exe esta abierto y en segundo plano, tambien note que crea otros .exe en el pendrive en una carpeta llamada "Recicle" o algo asi. al parecer es un stealer de Google Chrome , bueno eso parece , lo raro es que no encontre entradas al registro u alguna manera para que se auto ejecutase al encender mi PC. bueno aqui lo dejo para el que lo quiera analizar : https://anonfile.com/N6l2B0Y9n2/Virus_rarCrees que es del propio Chrome? O de algún malware que puedas tener instalado? Miraste en las carpetas típicas? Chequeaste el tráfico de red? Será un autoupdater o algo así? Tienes el propio Chrome que se te inicia al arrancar? Igual solo cerraste la ventana de Chrome pero mantiene pocresos en el background? PD: Lo miraste algo? Ten cuidado a ver si se creó dinámicamente y tiene hardcodeado o embebido movidas personales tuya tipo cookies y demás.
|
|
« Última modificación: 13 Febrero 2020, 16:24 pm por @XSStringManolo »
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
EdePC
|
Saludos,
- De momento puedo decir que el fichero chrome.exe està firmado digitalmente y parece estar correcto, sin embargo el otro fichero raro es detectado como troyano por mi Windows Defender (Windows 8) actualizado en 04/01/2020 (haber si lo actualizo de paso XD).
- He ejecutado ese archivo raro y no he visto que me cree entradas de AutoArranque en el PC, lo que si he visto es que se "inyecta" (no se si sea el termino correcto) al navegador por defecto, ya sea IE, Chrome (con otro no he probado) y empieza a monitorizar las unidades USB, ha creado el Autorun.inf y el recycler que mencionas, pero no he visto que me oculte carpetas o renombre archivos o nada. Aunque esta USB solo tiene imágenes y carpetas XD.
- Yo usaría Autoruns para buscar donde se está autoarrancando con Chrome en tu caso. ProcessHacker, ProcessMonitor y ProcessExplorer me dicen que el proceso IE o Chrome en tu caso tienen abierto (Handles) el .exe que has subido y que ese mismo es su Parent.
- No había visto algo así, al menos no hasta ahora o que me haya dado cuenta XD, tampoco es que analice mucho malware.
|
|
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.399
Turn off the red ligth
|
Utiliza \MountPointManager infecta: C:\Program Files\Microsoft\DesktopLayer.exe Misma Ruta\px4735.tmp
\SystemRoot\AppPatch\sysmain.sdb
C:\Program Files\Internet Explorer\dmlconf.dat
C:\Program Files\7-Zip\7z.exe C:\Program Files\7-Zip\7zFM.exe C:\Program Files\7-Zip\7zG.exe
C:\Program Files\Adobe\ Aquí infecta el ReadMeCS.htm y todas las .dll que pilla.
En Program Files\Common Files\microsoft shared\ infecta el office.
También infecta el framework .net
Se ejecuta al inicio en el registro con la key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit
Cambia las cabeceras PE y se añade al final(infecta) de DesktopLayer.exe, schtasks.exe iexplorer.exe chrome.exe
Después ejecuta el archivo desde la cmd.
Utiliza el método de spread de usbs con autorun. Es decir, es malware de la época del XP xDD
Cómo cojones te infectaste con esto?
|
|
« Última modificación: 13 Febrero 2020, 19:08 pm por @XSStringManolo »
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
apuromafo CLS
|
solo para acotar o agregar mas a lo que escribe @EdePC cuando un proceso se inyecta a otro ,suele llamarse que infecta o se ejecuta a partir de un proceso abierto se transmiten mensajes, esto es conocido como payload, o un stream, o runpe etc, algunos llaman virus, bots, es segun el accionar del mismo hay muchos conceptos posibles, herramientas conocidas para analizar aquello suelen ser pesieve, o pestudio de winitor.com, para analizar por encima algun ejecutable solamente, para comportamientos aveces hay que hacer algunas snapshot y capturas por otro lado el tema de autoruns es algo que lleva años por la red y los recycler igual casi siempre es bueno tener algun firewall o antivirus de apoyo, para un correcto uso del pc Si quieres analizar malware, puedes intentar aprender ingenieria inversa, hay foro para ello en general, muchas cosas se pueden estudiar solo con dedicación y haciendo pequeños laboratorios de estudio es una forma práctica de ver programas y comportamientos extraños, hay sistemas sandbox como any.run que te registras y mandar la muestra para ser analizada, con analisis de trafico y más, hasta puedes interactuar..pero un paso a la vez, hay que primero entender que tienes.. https://www.osi.es/es/servicio-antibotnet/info/ramnitSaludos Cordiales Apuromafo pd: no estoy interesado en estudiar malware, pasaba por ahi leyendo a EdePC..y dije voy a escribir algo poco. Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.
|
|
« Última modificación: 14 Febrero 2020, 03:33 am por apuromafo »
|
En línea
|
Apuromafo
|
|
|
**Aincrad**
|
No tengo ni pinche Idea de como me infecte. solo encendi el PC y no te el proceso en segundo plano, revise algunas entradas con Olly y nada mas. tampoco tengo conocimiento avanzado en analisis de malware. PD: Examine mi pc con mi antivirus (que siempre lo tengo OFF , por que me molesta cuando hago mis hacks.) y bueno : "Tan solo tube alguna amenazas.... " valla , la ultima vez que escanee mi pc fue hace como 2 años aprox. Si tienen razon , se Injecta, la Descripcion hacia este tipo de virus es Ramnit.
|
|
« Última modificación: 13 Febrero 2020, 23:53 pm por **Aincrad** »
|
En línea
|
|
|
|
@XSStringManolo
Hacker/Programador
Colaborador
Desconectado
Mensajes: 2.399
Turn off the red ligth
|
Ten cuidado no te joda tu software el av. Los hay muy puñeteros, por ejemplo el kaspersky para android me fundió 5 .apk porque tenías nombres como rat, malware, keylogger, etc. Algunos ni siquiera tenían la funcionalidad de que describían los títulos porque aún estaban en primeras etapas de desarrollo.
Yo para trabajar con malware en windows uso el Free Zone Alarm AV, es compatible con el windows defender, usa el motor del kaspersky, es totalmente gratuito, tiene zona para trabajar con tu malware sin problemas, etc.
Si lo pruebas no lo cambias xD.
|
|
|
En línea
|
Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Algun virus hace esto¿
Hacking Mobile
|
Valkyr
|
0
|
3,139
|
14 Diciembre 2006, 23:51 pm
por Valkyr
|
|
|
Idea que comente hace tiempo
Foro Libre
|
crazykenny
|
8
|
3,777
|
7 Septiembre 2011, 17:42 pm
por Cyril
|
|
|
¿Alguien tiene idea de como se hace esto?
Programación C/C++
|
Republi
|
2
|
2,469
|
4 Septiembre 2016, 06:52 am
por JavierScars
|
|
|
Virus, Ni idea de lo que hace. II
Análisis y Diseño de Malware
|
**Aincrad**
|
1
|
3,326
|
21 Febrero 2020, 01:55 am
por FJDA
|
|
|
Un virus modificado hace que el cáncer se elimine a sí mismo
Foro Libre
|
El_Andaluz
|
0
|
2,214
|
20 Mayo 2021, 13:52 pm
por El_Andaluz
|
|