Autor
Voy 
El ejecutable dbf70700.exe esta programado en Delphi y comprimido con ASProtect
Al ejecutarse crea las siguientes llaves de registro:
La primera de ellas para garantizar su inicio con cada reinicio del sistema, las de en medio con datos relativos a la versión del "soft", y las últimas contienen los valores relativos a los datos que aparecen si vamos a Agregar y quitar programas en el panel de control (aunque es falso, esto no funciona)
Además de las llaves anteriores, también son creados dos archivos, hookdll.dll y enemies-names.txt.
El primero de ellos aún no me queda claro que función cumple, ya que lo que tiene el proceso cargado en memoria son las siguientes librerías
... pero en un volcado de memoria se puede ver como el hookdll.dll esta en la vuelta, sin tener en cuenta que sus funciones son StartHook y StopHook (nombres más que descriptivos)
Por el contenido de la dll se puede llegar a esto ..
Por otra parte, el archivo de texto enemies-names.txt es el que contiene los nombres y descripciones de las supuestas amenazas que rondan nuestros ordenadores, así que bastan un par de modificaciones y ....
Por otra parte, el "bicho" también se conecta a la IP 92.212.226.53 (instat.in) y realiza un GET a la página principal, donde el único resultado es ...
, además de estar en varios idiomas por si no entendemos
Y ya! Para eliminar el "bicho" no hace falta más que;
Nota: el archivo principal posiblemente cuente con otro nombre de similares características, por lo que es facilmente identificable en el adminstrador de tareas, además de que consume más de un 90% de nuestro CPU, así que no es necesario ningún tipo de vacuna
Nota 2: durante el proceso de eliminación el "bicho" no opone ningún tipo de resistencia, así que simplemente se mata procesos y elimina archivos y llaves
Saludos
El ejecutable dbf70700.exe esta programado en Delphi y comprimido con ASProtect
Citar
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="DelphiApplication"
version="1.0.0.0"
processorArchitecture="*"/>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="*"/>
</dependentAssembly>
</dependency>
</assembly>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="DelphiApplication"
version="1.0.0.0"
processorArchitecture="*"/>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="*"/>
</dependentAssembly>
</dependency>
</assembly>
Al ejecutarse crea las siguientes llaves de registro:
| Clave HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dbf70700.exe HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl1 HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl2 HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarlA HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\install_time HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\database_version HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\virus_signatures HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\affid HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayIcon HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayName HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\UninstallString HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\InstallLocation HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoModify HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoRepair | Valor C:\Worm\dbf70700.exe KRoAGVdOQx4PARElG00dAQ== KRoAGVdOQwQVExE3BAYNQRsl KRoAGVdOQx4PARElG00dAQ== 40261,91524 258 60326 70700 C:\Worm\dbf70700.exe,0 Antimalware Doctor C:\Worm\dbf70700.exe /uninstall C:\Worm\ 1 1 |
La primera de ellas para garantizar su inicio con cada reinicio del sistema, las de en medio con datos relativos a la versión del "soft", y las últimas contienen los valores relativos a los datos que aparecen si vamos a Agregar y quitar programas en el panel de control (aunque es falso, esto no funciona)
Además de las llaves anteriores, también son creados dos archivos, hookdll.dll y enemies-names.txt.
El primero de ellos aún no me queda claro que función cumple, ya que lo que tiene el proceso cargado en memoria son las siguientes librerías
Citar
------------------------------------------------------------------------------
dbf70700.exe pid: 1936
Command line: "C:\Worm\dbf70700.exe"
Base Size Version Path
0x00400000 0x1ce000 0.01.0000.0000 C:\Worm\dbf70700.exe
0x7c910000 0xb8000 5.01.2600.5755 C:\WINDOWS\system32\ntdll.dll
0x7c800000 0x103000 5.01.2600.5781 C:\WINDOWS\system32\kernel32.dll
0x770f0000 0x8b000 5.01.2600.5512 C:\WINDOWS\system32\oleaut32.dll
0x77da0000 0xac000 5.01.2600.5755 C:\WINDOWS\system32\ADVAPI32.dll
0x77e50000 0x92000 5.01.2600.5795 C:\WINDOWS\system32\RPCRT4.dll
0x77fc0000 0x11000 5.01.2600.5834 C:\WINDOWS\system32\Secur32.dll
0x77ef0000 0x49000 5.01.2600.5698 C:\WINDOWS\system32\GDI32.dll
0x7e390000 0x91000 5.01.2600.5512 C:\WINDOWS\system32\USER32.dll
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x774b0000 0x13d000 5.01.2600.5512 C:\WINDOWS\system32\ole32.dll
0x76330000 0x5000 5.01.2600.5512 C:\WINDOWS\system32\msimg32.dll
0x77bd0000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\version.dll
0x7e6a0000 0x821000 6.00.2900.5622 C:\WINDOWS\system32\shell32.dll
0x77f40000 0x76000 6.00.2900.5912 C:\WINDOWS\system32\SHLWAPI.dll
0x773a0000 0x103000 6.00.2900.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x72f80000 0x26000 5.01.2600.5512 C:\WINDOWS\system32\winspool.drv
0x76360000 0x4a000 6.00.2900.5512 C:\WINDOWS\system32\comdlg32.dll
0x71a50000 0xa000 5.01.2600.5512 C:\WINDOWS\system32\wsock32.dll
0x71a30000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\WS2_32.dll
0x71a20000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\WS2HELP.dll
0x76340000 0x1d000 5.01.2600.5512 C:\WINDOWS\system32\IMM32.DLL
0x5b150000 0x38000 6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll
0x746b0000 0x4c000 5.01.2600.5512 C:\WINDOWS\system32\MSCTF.dll
0x75160000 0x2e000 5.01.2600.5512 C:\WINDOWS\system32\msctfime.ime
0x590d0000 0x7000 5.01.2600.5512 C:\WINDOWS\system32\Wship6.dll
0x719d0000 0x40000 5.01.2600.5625 C:\WINDOWS\System32\mswsock.dll
0x76ee0000 0x27000 5.01.2600.5625 C:\WINDOWS\system32\DNSAPI.dll
0x76f70000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\winrnr.dll
0x76f20000 0x2d000 5.01.2600.5512 C:\WINDOWS\system32\WLDAP32.dll
0x66740000 0x59000 5.01.2600.5512 C:\WINDOWS\system32\hnetcfg.dll
0x71a10000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\wshtcpip.dll
0x76f80000 0x6000 5.01.2600.5512 C:\WINDOWS\system32\rasadhlp.dll
0x5f1f0000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\olepro32.dll
0x76f90000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77010000 0xd0000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x40290000 0xa93000 8.00.6001.18876 C:\WINDOWS\system32\ieframe.dll
0x400a0000 0x1e8000 8.00.6001.18876 C:\WINDOWS\system32\iertutil.dll
0x76bb0000 0xb000 5.01.2600.5512 C:\WINDOWS\system32\PSAPI.dll
dbf70700.exe pid: 1936
Command line: "C:\Worm\dbf70700.exe"
Base Size Version Path
0x00400000 0x1ce000 0.01.0000.0000 C:\Worm\dbf70700.exe
0x7c910000 0xb8000 5.01.2600.5755 C:\WINDOWS\system32\ntdll.dll
0x7c800000 0x103000 5.01.2600.5781 C:\WINDOWS\system32\kernel32.dll
0x770f0000 0x8b000 5.01.2600.5512 C:\WINDOWS\system32\oleaut32.dll
0x77da0000 0xac000 5.01.2600.5755 C:\WINDOWS\system32\ADVAPI32.dll
0x77e50000 0x92000 5.01.2600.5795 C:\WINDOWS\system32\RPCRT4.dll
0x77fc0000 0x11000 5.01.2600.5834 C:\WINDOWS\system32\Secur32.dll
0x77ef0000 0x49000 5.01.2600.5698 C:\WINDOWS\system32\GDI32.dll
0x7e390000 0x91000 5.01.2600.5512 C:\WINDOWS\system32\USER32.dll
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x774b0000 0x13d000 5.01.2600.5512 C:\WINDOWS\system32\ole32.dll
0x76330000 0x5000 5.01.2600.5512 C:\WINDOWS\system32\msimg32.dll
0x77bd0000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\version.dll
0x7e6a0000 0x821000 6.00.2900.5622 C:\WINDOWS\system32\shell32.dll
0x77f40000 0x76000 6.00.2900.5912 C:\WINDOWS\system32\SHLWAPI.dll
0x773a0000 0x103000 6.00.2900.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x72f80000 0x26000 5.01.2600.5512 C:\WINDOWS\system32\winspool.drv
0x76360000 0x4a000 6.00.2900.5512 C:\WINDOWS\system32\comdlg32.dll
0x71a50000 0xa000 5.01.2600.5512 C:\WINDOWS\system32\wsock32.dll
0x71a30000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\WS2_32.dll
0x71a20000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\WS2HELP.dll
0x76340000 0x1d000 5.01.2600.5512 C:\WINDOWS\system32\IMM32.DLL
0x5b150000 0x38000 6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll
0x746b0000 0x4c000 5.01.2600.5512 C:\WINDOWS\system32\MSCTF.dll
0x75160000 0x2e000 5.01.2600.5512 C:\WINDOWS\system32\msctfime.ime
0x590d0000 0x7000 5.01.2600.5512 C:\WINDOWS\system32\Wship6.dll
0x719d0000 0x40000 5.01.2600.5625 C:\WINDOWS\System32\mswsock.dll
0x76ee0000 0x27000 5.01.2600.5625 C:\WINDOWS\system32\DNSAPI.dll
0x76f70000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\winrnr.dll
0x76f20000 0x2d000 5.01.2600.5512 C:\WINDOWS\system32\WLDAP32.dll
0x66740000 0x59000 5.01.2600.5512 C:\WINDOWS\system32\hnetcfg.dll
0x71a10000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\wshtcpip.dll
0x76f80000 0x6000 5.01.2600.5512 C:\WINDOWS\system32\rasadhlp.dll
0x5f1f0000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\olepro32.dll
0x76f90000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77010000 0xd0000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x40290000 0xa93000 8.00.6001.18876 C:\WINDOWS\system32\ieframe.dll
0x400a0000 0x1e8000 8.00.6001.18876 C:\WINDOWS\system32\iertutil.dll
0x76bb0000 0xb000 5.01.2600.5512 C:\WINDOWS\system32\PSAPI.dll
... pero en un volcado de memoria se puede ver como el hookdll.dll esta en la vuelta, sin tener en cuenta que sus funciones son StartHook y StopHook (nombres más que descriptivos)
Por el contenido de la dll se puede llegar a esto ..
Citar
FastMM Borland Edition
2004, 2005 Pierre le Riche / Professional Software Development
:http://sourceforge.net/projects/fastmm/2004, 2005 Pierre le Riche / Professional Software Development
Por otra parte, el archivo de texto enemies-names.txt es el que contiene los nombres y descripciones de las supuestas amenazas que rondan nuestros ordenadores, así que bastan un par de modificaciones y ....
Por otra parte, el "bicho" también se conecta a la IP 92.212.226.53 (instat.in) y realiza un GET a la página principal, donde el único resultado es ...
Citar
<html></html>
Hay que agregar además, que durante todo el proceso se nos muestran molestos mensajes (como en todo Rogue) invitandonos a comprar la versión full del "producto", con lo cual llegamos a una web donde poder hacerlo, y claro esta ... la transacción obviamente es totalmente segura , además de estar en varios idiomas por si no entendemosY ya! Para eliminar el "bicho" no hace falta más que;
- Matar el proceso, en este caso el dbf70700.exe
- Eliminar los archivos dbf70700.exe, hookdll.dll y enemies-names.txt
- Eliminar la clave de registro que se encuentra bajo HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ y que apunta al mismo ejecutable
- Si se pretende dejar todo en "orden", eliminar además las otras claves mencionadas antes.
Nota: el archivo principal posiblemente cuente con otro nombre de similares características, por lo que es facilmente identificable en el adminstrador de tareas, además de que consume más de un 90% de nuestro CPU, así que no es necesario ningún tipo de vacuna
Nota 2: durante el proceso de eliminación el "bicho" no opone ningún tipo de resistencia, así que simplemente se mata procesos y elimina archivos y llaves
Saludos
En línea
