elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  AntiMalware Doctor -> Vacuna y análisis [RETO]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 [4] Ir Abajo Respuesta Imprimir
Autor Tema: AntiMalware Doctor -> Vacuna y análisis [RETO]  (Leído 27,319 veces)
aricosese

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #30 en: 4 Mayo 2010, 22:26 pm »

Hola, a mi también se me ha metido este virus en mi ordenador. He hecho todo lo que dices pero aunque he borrado los archivos y las claves de registro el maldito virus sigue en mi ordenador. Por favor, puedes ayudarme??

Voy :D

El ejecutable dbf70700.exe esta programado en Delphi y comprimido con ASProtect
Citar
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
 <assemblyIdentity
type="win32"
 name="DelphiApplication"
 version="1.0.0.0"
processorArchitecture="*"/>
 <dependency>
 <dependentAssembly>
 <assemblyIdentity
 type="win32"
 name="Microsoft.Windows.Common-Controls"
 version="6.0.0.0"
 publicKeyToken="6595b64144ccf1df"
 language="*"
 processorArchitecture="*"/>
 </dependentAssembly>
 </dependency>
</assembly>

Al ejecutarse crea las siguientes llaves de registro:
Clave
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dbf70700.exe
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl1
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl2
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarlA
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\install_time
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\database_version
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\virus_signatures
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\affid
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayIcon
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayName
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\UninstallString
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\InstallLocation
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoModify
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoRepair
Valor
C:\Worm\dbf70700.exe
KRoAGVdOQx4PARElG00dAQ==
KRoAGVdOQwQVExE3BAYNQRsl
KRoAGVdOQx4PARElG00dAQ==
40261,91524
258
60326
70700
C:\Worm\dbf70700.exe,0
Antimalware Doctor
C:\Worm\dbf70700.exe /uninstall
C:\Worm\
1
1

La primera de ellas para garantizar su inicio con cada reinicio del sistema, las de en medio con datos relativos a la versión del "soft", y las últimas contienen los valores relativos a los datos que aparecen si vamos a Agregar y quitar programas en el panel de control (aunque es falso, esto no funciona)

Además de las llaves anteriores, también son creados dos archivos, hookdll.dll y enemies-names.txt.
El primero de ellos aún no me queda claro que función cumple, ya que lo que tiene el proceso cargado en memoria son las siguientes librerías

Citar
------------------------------------------------------------------------------
dbf70700.exe pid: 1936
Command line: "C:\Worm\dbf70700.exe"

 Base Size Version Path
 0x00400000 0x1ce000 0.01.0000.0000 C:\Worm\dbf70700.exe
 0x7c910000 0xb8000 5.01.2600.5755 C:\WINDOWS\system32\ntdll.dll
 0x7c800000 0x103000 5.01.2600.5781 C:\WINDOWS\system32\kernel32.dll
 0x770f0000 0x8b000 5.01.2600.5512 C:\WINDOWS\system32\oleaut32.dll
 0x77da0000 0xac000 5.01.2600.5755 C:\WINDOWS\system32\ADVAPI32.dll
 0x77e50000 0x92000 5.01.2600.5795 C:\WINDOWS\system32\RPCRT4.dll
 0x77fc0000 0x11000 5.01.2600.5834 C:\WINDOWS\system32\Secur32.dll
 0x77ef0000 0x49000 5.01.2600.5698 C:\WINDOWS\system32\GDI32.dll
 0x7e390000 0x91000 5.01.2600.5512 C:\WINDOWS\system32\USER32.dll
 0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
 0x774b0000 0x13d000 5.01.2600.5512 C:\WINDOWS\system32\ole32.dll
 0x76330000 0x5000 5.01.2600.5512 C:\WINDOWS\system32\msimg32.dll
 0x77bd0000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\version.dll
 0x7e6a0000 0x821000 6.00.2900.5622 C:\WINDOWS\system32\shell32.dll
 0x77f40000 0x76000 6.00.2900.5912 C:\WINDOWS\system32\SHLWAPI.dll
 0x773a0000 0x103000 6.00.2900.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
 0x72f80000 0x26000 5.01.2600.5512 C:\WINDOWS\system32\winspool.drv
 0x76360000 0x4a000 6.00.2900.5512 C:\WINDOWS\system32\comdlg32.dll
 0x71a50000 0xa000 5.01.2600.5512 C:\WINDOWS\system32\wsock32.dll
 0x71a30000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\WS2_32.dll
 0x71a20000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\WS2HELP.dll
 0x76340000 0x1d000 5.01.2600.5512 C:\WINDOWS\system32\IMM32.DLL
 0x5b150000 0x38000 6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll
 0x746b0000 0x4c000 5.01.2600.5512 C:\WINDOWS\system32\MSCTF.dll
 0x75160000 0x2e000 5.01.2600.5512 C:\WINDOWS\system32\msctfime.ime
 0x590d0000 0x7000 5.01.2600.5512 C:\WINDOWS\system32\Wship6.dll
 0x719d0000 0x40000 5.01.2600.5625 C:\WINDOWS\System32\mswsock.dll
 0x76ee0000 0x27000 5.01.2600.5625 C:\WINDOWS\system32\DNSAPI.dll
 0x76f70000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\winrnr.dll
 0x76f20000 0x2d000 5.01.2600.5512 C:\WINDOWS\system32\WLDAP32.dll
 0x66740000 0x59000 5.01.2600.5512 C:\WINDOWS\system32\hnetcfg.dll
 0x71a10000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\wshtcpip.dll
 0x76f80000 0x6000 5.01.2600.5512 C:\WINDOWS\system32\rasadhlp.dll
 0x5f1f0000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\olepro32.dll
 0x76f90000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
 0x77010000 0xd0000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
 0x40290000 0xa93000 8.00.6001.18876 C:\WINDOWS\system32\ieframe.dll
 0x400a0000 0x1e8000 8.00.6001.18876 C:\WINDOWS\system32\iertutil.dll
 0x76bb0000 0xb000 5.01.2600.5512 C:\WINDOWS\system32\PSAPI.dll

... pero en un volcado de memoria se puede ver como el hookdll.dll esta en la vuelta, sin tener en cuenta que sus funciones son StartHook y StopHook (nombres más que descriptivos)

Por el contenido de la dll se puede llegar a esto ..
Citar
FastMM Borland Edition
2004, 2005 Pierre le Riche / Professional Software Development
:http://sourceforge.net/projects/fastmm/

Por otra parte, el archivo de texto enemies-names.txt es el que contiene los nombres y descripciones de las supuestas amenazas que rondan nuestros ordenadores, así que bastan un par de modificaciones y ....


Por otra parte, el "bicho" también se conecta a la IP 92.212.226.53 (instat.in) y realiza un GET a la página principal, donde el único resultado es ...
Citar
<html></html>
Hay que agregar además, que durante todo el proceso se nos muestran molestos mensajes (como en todo Rogue) invitandonos a comprar la versión full del "producto", con lo cual llegamos a una web donde poder hacerlo, y claro esta ... la transacción obviamente es totalmente segura :¬¬ , además de estar en varios idiomas por si no entendemos


Y ya! Para eliminar el "bicho" no hace falta más que;

  • Matar el proceso, en este caso el dbf70700.exe
  • Eliminar los archivos dbf70700.exe, hookdll.dll y enemies-names.txt
  • Eliminar la clave de registro que se encuentra bajo HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ y que apunta al mismo ejecutable
  • Si se pretende dejar todo en "orden", eliminar además las otras claves mencionadas antes.

Nota: el archivo principal posiblemente cuente con otro nombre de similares características, por lo que es facilmente identificable en el adminstrador de tareas, además de que consume más de un 90% de nuestro CPU, así que no es necesario ningún tipo de vacuna :P
Nota 2: durante el proceso de eliminación el "bicho" no opone ningún tipo de resistencia, así que simplemente se mata procesos y elimina archivos y llaves :D

Saludos ;D

En línea

DarkItachi


Desconectado Desconectado

Mensajes: 516


Itachi Uchiha


Ver Perfil
Re: AntiMalware Doctor -> Vacuna y análisis [RETO]
« Respuesta #31 en: 4 Mayo 2010, 22:47 pm »

Coge el code que puso Novlucker: https://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428697#msg1428697

Pégalo en un bloc de notas y guárdalo como vacunas.vbs, ejecútalo y reinicia, si sigues viendo que el virus está quizás es una mutación de este, en tal caso aisla el ejecutable y súbelo a megaupload/rapidshare/etc... para que lo podamos examinar.
En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.
Páginas: 1 2 3 [4] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Reto] Zig Zag (OJO ANALISIS) « 1 2 3 4 »
Programación Visual Basic
BlackZeroX 38 24,466 Último mensaje 7 Enero 2011, 16:56 pm
por 79137913
malware doctor
Seguridad
chavier3437 8 5,791 Último mensaje 31 Marzo 2011, 01:17 am
por Arcano.
Doctor Who en Castellano?
Software
Eleкtro 8 2,016 Último mensaje 7 Mayo 2015, 21:57 pm
por Eleкtro
¿Os pondreis la vacuna del Coronavirus cuando este disponible?. « 1 2 3 4 »
Foro Libre
crazykenny 36 13,931 Último mensaje 21 Diciembre 2020, 20:23 pm
por General Dmitry Vergadoski
[API] XylonV2 : Librería Antimalware Completamente Gratuita!
.NET (C#, VB.NET, ASP)
**Aincrad** 0 1,752 Último mensaje 3 Febrero 2022, 18:57 pm
por **Aincrad**
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines