Título: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: DarkItachi en 24 Marzo 2010, 20:21 pm Buenas, ayer me infecté con este virus y no se cómo, me destrozó el arranque de xp así que voy a proponeros un reto, crear un análisis y vacuna de este virus, que ha mutado, la información de internet no es del todo cierta ya que han cambiado nombre de procesos y tal, este reto va especialmente dedicado a Novlucker, viejo amigo que creó por una solicitud mía la vacuna del sasan.a, así que Novlucker y demás personas, tenéis un nuevo reto. Analizarlo y crear una vacuna, da igual el lenguaje. Es una forma de fomentar vuestros conocimientos. Mandadme mp y os mandaré el virus travieso comprimido en winrar con contraseña, anda que no costó reternelo xD. Buena suerte a todos :D.
Personas que aceptaron el reto Novlucker - ANÁLISIS (http://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428674#msg1428674)VACUNA (http://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428697#msg1428697) skapunky - ANÁLISIS (http://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428458#msg1428458) Hacker_Zero - FALTA VACUNA Y ANÁLISIS seba123neo - ANÁLISIS (http://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428477#msg1428477) secMAM - FALTA VACUNA Y ANÁLISIS Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: skapunky en 24 Marzo 2010, 20:39 pm Anda..pasame por privado el exe >:D. Haber si se deja destripar bien.
Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: DarkItachi en 24 Marzo 2010, 20:43 pm Anda..pasame por privado el exe >:D. Haber si se deja destripar bien. Ya te lo pasé, mucha suerte :D Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Novlucker en 24 Marzo 2010, 20:45 pm Nooooo!!
Llego a casa dentro de 5 hrs más o menos, y destripar este Rogue va a ser MUY fácil, no se lo pases a skapunky :-( Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: [Zero] en 24 Marzo 2010, 20:52 pm Mándamelo :P.
Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: DarkItachi en 24 Marzo 2010, 20:57 pm Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestiasç EDITO: Skaupunky a mi se me descomprime bien :s Y lo he probado en otro ordenador :S Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: seba123neo en 24 Marzo 2010, 21:00 pm Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s En cuanto esté de nuevo os lo mando, Disculpad las molestias trata de no infectarte de nuevo de paso :xD Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: DarkItachi en 24 Marzo 2010, 21:06 pm Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s En cuanto esté de nuevo os lo mando, Disculpad las molestias trata de no infectarte de nuevo de paso :xD Te mando el virus? Y así de paso me dices si se te descomprime bien? Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: seba123neo en 24 Marzo 2010, 21:11 pm Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s En cuanto esté de nuevo os lo mando, Disculpad las molestias trata de no infectarte de nuevo de paso :xD Te mando el virus? Y así de paso me dices si se te descomprime bien? dale (no es un chat ya se) Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: skapunky en 24 Marzo 2010, 21:15 pm Informe Skapunky
Aquí iré poniendo todo lo que vaya encontrando: Ejecutable: El olly avisa que el archivo está comprimido, cifrado...vaya que con olly sale jodido. (Sale gran cantidad de memória vacia por la compresion del ejecutable). 1. Se conecta a la IP 91.212.226.53 por el puerto 80. (TCPview) 2. Crea el archivo enemies.names.txt y hookdll.dll (Al ejecutarlo) 3. Crea varias claves en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Antimalware Doctor Inc\Antimalware Doctor\ con varios valores. También en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\ Con algúnas subclaves. (Las claves se pueden comprovar mediante regshot o similares en máquina virtual) Hookdll.dll - Sobre la libreria Hookdll.dll el olly tiene problemas al leerla, el entry point está modificado o quizá es porque es dinámica, ya pensaré algo. - La librería me temo que tiene la función de hacer que el ejecutable tenga característica de rootkit y se inyecte en explorer.exe Continuare... Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: seba123neo en 24 Marzo 2010, 21:48 pm dependencias:
Código: activeds.dll C:\WINDOWS\system32\activeds.dll esta en vb6 ?? me lo abrio un decompilador...no muestra nada por estar comprimido seguro..pero lo abrio..sino no lo abre. EDITO: parece que esta en delphi la DLL..lindas cosas se ven en ella :xD Código: FastMM Borland Edition Apis usadas: Código:
otra DLL ? Código: HRhookdll.dll Comprimido con ASProtect v1.23 RC1 :xD tiene el manifiesto de windows para usar los temitas :xD usa una bocha de api's que no tengo ganas de poner.. :P Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: [Zero] en 24 Marzo 2010, 22:18 pm Si alguien lo desempaca me ahorraría trabajo, jodido Asprotect :¬¬ .
Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: skapunky en 24 Marzo 2010, 22:38 pm Como sabes que es el Asprotect? Había un programa que te decia si el exe estaba "empacado" y con cual, pero no me acuerdo del nombre y no lo tengo en mi repostorio de programas.
Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: [Zero] en 24 Marzo 2010, 22:43 pm Yo uso el RDG. Tengo el exe "desempacado", pero no logro reparar la IAT, desempacar no es lo mío :xD.
Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: seba123neo en 24 Marzo 2010, 22:46 pm Como sabes que es el Asprotect? Había un programa que te decia si el exe estaba "empacado" y con cual, pero no me acuerdo del nombre y no lo tengo en mi repostorio de programas. anota este...FileAlyzer...te da bastante info importante. saludos. Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: RAID-MAM en 25 Marzo 2010, 00:46 am Pasame el exe para probar suerte :D
Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Novlucker en 25 Marzo 2010, 05:22 am Voy :D
El ejecutable dbf70700.exe esta programado en Delphi y comprimido con ASProtect Citar <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <assemblyIdentity type="win32" name="DelphiApplication" version="1.0.0.0" processorArchitecture="*"/> <dependency> <dependentAssembly> <assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" publicKeyToken="6595b64144ccf1df" language="*" processorArchitecture="*"/> </dependentAssembly> </dependency> </assembly> Al ejecutarse crea las siguientes llaves de registro:
La primera de ellas para garantizar su inicio con cada reinicio del sistema, las de en medio con datos relativos a la versión del "soft", y las últimas contienen los valores relativos a los datos que aparecen si vamos a Agregar y quitar programas en el panel de control (aunque es falso, esto no funciona) Además de las llaves anteriores, también son creados dos archivos, hookdll.dll y enemies-names.txt. El primero de ellos aún no me queda claro que función cumple, ya que lo que tiene el proceso cargado en memoria son las siguientes librerías Citar ------------------------------------------------------------------------------ dbf70700.exe pid: 1936 Command line: "C:\Worm\dbf70700.exe" Base Size Version Path 0x00400000 0x1ce000 0.01.0000.0000 C:\Worm\dbf70700.exe 0x7c910000 0xb8000 5.01.2600.5755 C:\WINDOWS\system32\ntdll.dll 0x7c800000 0x103000 5.01.2600.5781 C:\WINDOWS\system32\kernel32.dll 0x770f0000 0x8b000 5.01.2600.5512 C:\WINDOWS\system32\oleaut32.dll 0x77da0000 0xac000 5.01.2600.5755 C:\WINDOWS\system32\ADVAPI32.dll 0x77e50000 0x92000 5.01.2600.5795 C:\WINDOWS\system32\RPCRT4.dll 0x77fc0000 0x11000 5.01.2600.5834 C:\WINDOWS\system32\Secur32.dll 0x77ef0000 0x49000 5.01.2600.5698 C:\WINDOWS\system32\GDI32.dll 0x7e390000 0x91000 5.01.2600.5512 C:\WINDOWS\system32\USER32.dll 0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll 0x774b0000 0x13d000 5.01.2600.5512 C:\WINDOWS\system32\ole32.dll 0x76330000 0x5000 5.01.2600.5512 C:\WINDOWS\system32\msimg32.dll 0x77bd0000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\version.dll 0x7e6a0000 0x821000 6.00.2900.5622 C:\WINDOWS\system32\shell32.dll 0x77f40000 0x76000 6.00.2900.5912 C:\WINDOWS\system32\SHLWAPI.dll 0x773a0000 0x103000 6.00.2900.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 0x72f80000 0x26000 5.01.2600.5512 C:\WINDOWS\system32\winspool.drv 0x76360000 0x4a000 6.00.2900.5512 C:\WINDOWS\system32\comdlg32.dll 0x71a50000 0xa000 5.01.2600.5512 C:\WINDOWS\system32\wsock32.dll 0x71a30000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\WS2_32.dll 0x71a20000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\WS2HELP.dll 0x76340000 0x1d000 5.01.2600.5512 C:\WINDOWS\system32\IMM32.DLL 0x5b150000 0x38000 6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll 0x746b0000 0x4c000 5.01.2600.5512 C:\WINDOWS\system32\MSCTF.dll 0x75160000 0x2e000 5.01.2600.5512 C:\WINDOWS\system32\msctfime.ime 0x590d0000 0x7000 5.01.2600.5512 C:\WINDOWS\system32\Wship6.dll 0x719d0000 0x40000 5.01.2600.5625 C:\WINDOWS\System32\mswsock.dll 0x76ee0000 0x27000 5.01.2600.5625 C:\WINDOWS\system32\DNSAPI.dll 0x76f70000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\winrnr.dll 0x76f20000 0x2d000 5.01.2600.5512 C:\WINDOWS\system32\WLDAP32.dll 0x66740000 0x59000 5.01.2600.5512 C:\WINDOWS\system32\hnetcfg.dll 0x71a10000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\wshtcpip.dll 0x76f80000 0x6000 5.01.2600.5512 C:\WINDOWS\system32\rasadhlp.dll 0x5f1f0000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\olepro32.dll 0x76f90000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL 0x77010000 0xd0000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll 0x40290000 0xa93000 8.00.6001.18876 C:\WINDOWS\system32\ieframe.dll 0x400a0000 0x1e8000 8.00.6001.18876 C:\WINDOWS\system32\iertutil.dll 0x76bb0000 0xb000 5.01.2600.5512 C:\WINDOWS\system32\PSAPI.dll ... pero en un volcado de memoria se puede ver como el hookdll.dll esta en la vuelta, sin tener en cuenta que sus funciones son StartHook y StopHook (nombres más que descriptivos) Por el contenido de la dll se puede llegar a esto .. Citar FastMM Borland Edition :http://sourceforge.net/projects/fastmm/2004, 2005 Pierre le Riche / Professional Software Development Por otra parte, el archivo de texto enemies-names.txt es el que contiene los nombres y descripciones de las supuestas amenazas que rondan nuestros ordenadores, así que bastan un par de modificaciones y .... (http://r.i.elhacker.net/cache?url=http://s3.subirimagenes.com:81/imagen/previo/thump_4260229antimalwaredoctor.png) (http://www.subirimagenes.com/imagen-antimalwaredoctor-4260229.html) Por otra parte, el "bicho" también se conecta a la IP 92.212.226.53 (instat.in) y realiza un GET a la página principal, donde el único resultado es ... Citar <html></html> Hay que agregar además, que durante todo el proceso se nos muestran molestos mensajes (como en todo Rogue) invitandonos a comprar la versión full del "producto", con lo cual llegamos a una web donde poder hacerlo, y claro esta ... la transacción obviamente es totalmente segura :¬¬ , además de estar en varios idiomas por si no entendemos(http://r.i.elhacker.net/cache?url=http://s3.subirimagenes.com:81/imagen/previo/thump_4260328secure.png) (http://www.subirimagenes.com/imagen-secure-4260328.html) Y ya! Para eliminar el "bicho" no hace falta más que;
Nota: el archivo principal posiblemente cuente con otro nombre de similares características, por lo que es facilmente identificable en el adminstrador de tareas, además de que consume más de un 90% de nuestro CPU, así que no es necesario ningún tipo de vacuna :P Nota 2: durante el proceso de eliminación el "bicho" no opone ningún tipo de resistencia, así que simplemente se mata procesos y elimina archivos y llaves :D Saludos ;D Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: DarkItachi en 25 Marzo 2010, 06:09 am Buenos análisis, bien todos. Recordad que también tenéis que desarrollar una vacuna, como véis es bastante sencilla de hacer la vacuna, para automatizar el proceso para usuarios experimentados, repito, en cualquier lenguaje. Pero siempre queda más bonito en gráficos tipo keygens xD Así que solo haced que la vacuna busque los archivos, mate el proceso, borre los archivos y las entradas de registro.
Suerte :D Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Novlucker en 25 Marzo 2010, 07:24 am Ok, vbs ...
Código
Ya, no es gráfico y además hay mejores maneras de hacer lo que hago anteriormente (como lo de eliminar llaves de registro por medio del cmd.exe), pero la verdad no me va estar creando una vacuna para eso :xD Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: [Zero] en 25 Marzo 2010, 16:51 pm Nada, no puedo con el Asprotect, demasiado para mis conocimientos de unpacking :-\.
Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Novlucker en 25 Marzo 2010, 17:01 pm Yo directamente me llevo mal con el Olly, así que de desempacar ni hablamos :xD ... por eso pase directamente al análisis dinámico, poca cosa salió del estático :P
Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: [Zero] en 25 Marzo 2010, 17:03 pm Yo directamente me llevo mal con el Olly, así que de desempacar ni hablamos :xD ... por eso pase directamente al análisis dinámico, poca cosa salió del estático :P Saludos No parece tener mucha chicha, está en delphi, supongo no es un virus nada complicado, lo más interesante es el Asprotect :xD. Debería estar prohibido empacar el malware ¬¬. Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: seba123neo en 26 Marzo 2010, 00:49 am che ahi dice que a mi me falta la vacuna...yo tengo la antitetanica sirve esa ? (chiste malo) :xD
despues hago algo...aunque no hay muhco que hacer, es mas yo lo ejecute :xD, y lo cerre rapido y no hizo nada, creo esos archivos y los borre...creo las claves en el registro y las borre...y no paso nada hoy cuando prendi la maquina jaja... despues hago algo lindo en visual basic... saludos. Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: DarkItachi en 26 Marzo 2010, 11:21 am De acuerdo :D
Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Radiotico en 22 Abril 2010, 20:33 pm Hola chicos, ahí va ese reto:
Tengo el maldito Antimalware Doctor metido en mi Pc. Lo intento borrar mediante programas como Malwarebytes. Despues le paso el ccleaner y al reiniciar me vuelve a salir las malditas ventanas y el bicho sigue ahí. Por otro lado busco las claves de registro para borrarlas manualmente y no encuentra ninguna, así como no encuentra el dbf70700.exe, ni el hookdll.dll, ni el enemies-names.txt. Que puedo hacer??. Estoy desesperado!!! Muchas gracias de antemano. Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Novlucker en 22 Abril 2010, 20:39 pm Y estas seguro de que es este y no uno parecido?
Rogues hay muchos Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Radiotico en 22 Abril 2010, 20:44 pm Estoy seguro!. Es el AntiMalware Doctor!. Y el icono en la barra de tareas es un escudo en rojo con una x blanca en el centro.
Que se te ocurre? Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Radiotico en 22 Abril 2010, 21:04 pm Además lo intento eliminar con el Malwarebytes y no hay manera.
La verdad es que no entiendo nada de nada y me estoy volviendo loco, además, de ralentizar bastante mi trabajo. No existe otro programa??, o el ejecutable estará como oculto??. Como podría encontrarlo?? Gracias y perdona pero es que no sé que hacer.... Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Novlucker en 22 Abril 2010, 21:06 pm Revisa la pc en modo seguro.
Por otra parte, si dices que no encuentras ni claves de registro ni nada, de seguro es una variante, porque esas cosas al menos deberían de aparecer. Saludos Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: Radiotico en 22 Abril 2010, 21:11 pm Gracias, probaré en modo seguro a pasarle el Malwarebytes y luego el CClean y a ver que pasa.
Un saludo. Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: aricosese en 4 Mayo 2010, 22:26 pm Hola, a mi también se me ha metido este virus en mi ordenador. He hecho todo lo que dices pero aunque he borrado los archivos y las claves de registro el maldito virus sigue en mi ordenador. Por favor, puedes ayudarme??
Voy :D El ejecutable dbf70700.exe esta programado en Delphi y comprimido con ASProtect Citar <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <assemblyIdentity type="win32" name="DelphiApplication" version="1.0.0.0" processorArchitecture="*"/> <dependency> <dependentAssembly> <assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" publicKeyToken="6595b64144ccf1df" language="*" processorArchitecture="*"/> </dependentAssembly> </dependency> </assembly> Al ejecutarse crea las siguientes llaves de registro:
La primera de ellas para garantizar su inicio con cada reinicio del sistema, las de en medio con datos relativos a la versión del "soft", y las últimas contienen los valores relativos a los datos que aparecen si vamos a Agregar y quitar programas en el panel de control (aunque es falso, esto no funciona) Además de las llaves anteriores, también son creados dos archivos, hookdll.dll y enemies-names.txt. El primero de ellos aún no me queda claro que función cumple, ya que lo que tiene el proceso cargado en memoria son las siguientes librerías Citar ------------------------------------------------------------------------------ dbf70700.exe pid: 1936 Command line: "C:\Worm\dbf70700.exe" Base Size Version Path 0x00400000 0x1ce000 0.01.0000.0000 C:\Worm\dbf70700.exe 0x7c910000 0xb8000 5.01.2600.5755 C:\WINDOWS\system32\ntdll.dll 0x7c800000 0x103000 5.01.2600.5781 C:\WINDOWS\system32\kernel32.dll 0x770f0000 0x8b000 5.01.2600.5512 C:\WINDOWS\system32\oleaut32.dll 0x77da0000 0xac000 5.01.2600.5755 C:\WINDOWS\system32\ADVAPI32.dll 0x77e50000 0x92000 5.01.2600.5795 C:\WINDOWS\system32\RPCRT4.dll 0x77fc0000 0x11000 5.01.2600.5834 C:\WINDOWS\system32\Secur32.dll 0x77ef0000 0x49000 5.01.2600.5698 C:\WINDOWS\system32\GDI32.dll 0x7e390000 0x91000 5.01.2600.5512 C:\WINDOWS\system32\USER32.dll 0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll 0x774b0000 0x13d000 5.01.2600.5512 C:\WINDOWS\system32\ole32.dll 0x76330000 0x5000 5.01.2600.5512 C:\WINDOWS\system32\msimg32.dll 0x77bd0000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\version.dll 0x7e6a0000 0x821000 6.00.2900.5622 C:\WINDOWS\system32\shell32.dll 0x77f40000 0x76000 6.00.2900.5912 C:\WINDOWS\system32\SHLWAPI.dll 0x773a0000 0x103000 6.00.2900.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll 0x72f80000 0x26000 5.01.2600.5512 C:\WINDOWS\system32\winspool.drv 0x76360000 0x4a000 6.00.2900.5512 C:\WINDOWS\system32\comdlg32.dll 0x71a50000 0xa000 5.01.2600.5512 C:\WINDOWS\system32\wsock32.dll 0x71a30000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\WS2_32.dll 0x71a20000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\WS2HELP.dll 0x76340000 0x1d000 5.01.2600.5512 C:\WINDOWS\system32\IMM32.DLL 0x5b150000 0x38000 6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll 0x746b0000 0x4c000 5.01.2600.5512 C:\WINDOWS\system32\MSCTF.dll 0x75160000 0x2e000 5.01.2600.5512 C:\WINDOWS\system32\msctfime.ime 0x590d0000 0x7000 5.01.2600.5512 C:\WINDOWS\system32\Wship6.dll 0x719d0000 0x40000 5.01.2600.5625 C:\WINDOWS\System32\mswsock.dll 0x76ee0000 0x27000 5.01.2600.5625 C:\WINDOWS\system32\DNSAPI.dll 0x76f70000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\winrnr.dll 0x76f20000 0x2d000 5.01.2600.5512 C:\WINDOWS\system32\WLDAP32.dll 0x66740000 0x59000 5.01.2600.5512 C:\WINDOWS\system32\hnetcfg.dll 0x71a10000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\wshtcpip.dll 0x76f80000 0x6000 5.01.2600.5512 C:\WINDOWS\system32\rasadhlp.dll 0x5f1f0000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\olepro32.dll 0x76f90000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL 0x77010000 0xd0000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll 0x40290000 0xa93000 8.00.6001.18876 C:\WINDOWS\system32\ieframe.dll 0x400a0000 0x1e8000 8.00.6001.18876 C:\WINDOWS\system32\iertutil.dll 0x76bb0000 0xb000 5.01.2600.5512 C:\WINDOWS\system32\PSAPI.dll ... pero en un volcado de memoria se puede ver como el hookdll.dll esta en la vuelta, sin tener en cuenta que sus funciones son StartHook y StopHook (nombres más que descriptivos) Por el contenido de la dll se puede llegar a esto .. Citar FastMM Borland Edition :http://sourceforge.net/projects/fastmm/2004, 2005 Pierre le Riche / Professional Software Development Por otra parte, el archivo de texto enemies-names.txt es el que contiene los nombres y descripciones de las supuestas amenazas que rondan nuestros ordenadores, así que bastan un par de modificaciones y .... (http://r.i.elhacker.net/cache?url=http://s3.subirimagenes.com:81/imagen/previo/thump_4260229antimalwaredoctor.png) (http://www.subirimagenes.com/imagen-antimalwaredoctor-4260229.html) Por otra parte, el "bicho" también se conecta a la IP 92.212.226.53 (instat.in) y realiza un GET a la página principal, donde el único resultado es ... Citar <html></html> Hay que agregar además, que durante todo el proceso se nos muestran molestos mensajes (como en todo Rogue) invitandonos a comprar la versión full del "producto", con lo cual llegamos a una web donde poder hacerlo, y claro esta ... la transacción obviamente es totalmente segura :¬¬ , además de estar en varios idiomas por si no entendemos(http://r.i.elhacker.net/cache?url=http://s3.subirimagenes.com:81/imagen/previo/thump_4260328secure.png) (http://www.subirimagenes.com/imagen-secure-4260328.html) Y ya! Para eliminar el "bicho" no hace falta más que;
Nota: el archivo principal posiblemente cuente con otro nombre de similares características, por lo que es facilmente identificable en el adminstrador de tareas, además de que consume más de un 90% de nuestro CPU, así que no es necesario ningún tipo de vacuna :P Nota 2: durante el proceso de eliminación el "bicho" no opone ningún tipo de resistencia, así que simplemente se mata procesos y elimina archivos y llaves :D Saludos ;D Título: Re: AntiMalware Doctor -> Vacuna y análisis [RETO] Publicado por: DarkItachi en 4 Mayo 2010, 22:47 pm Coge el code que puso Novlucker: https://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428697#msg1428697 (https://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428697#msg1428697)
Pégalo en un bloc de notas y guárdalo como vacunas.vbs, ejecútalo y reinicia, si sigues viendo que el virus está quizás es una mutación de este, en tal caso aisla el ejecutable y súbelo a megaupload/rapidshare/etc... para que lo podamos examinar. |