|
Título: Dr Abuse , virus Publicado por: CAR3S? en 1 Mayo 2011, 23:18 pm bueno, se ve que pasa el tiempo, y los enfermos llenan el dr abuse de virus, o simplemente, es un virus
es la segunda vez que bajo esta ***** de programa www.mediafire.com/?owxc0wco21m521x y es la segunda vez que viene con un troyano distinto desde que lo instale se me metio un troyano, facil de borrar, como cualquier otro. (&homedrive%\system32\install\DSick.exe o algo asi,) bueno esta bosta crea 2 explorer.exe (solo de proceso, no de archivo (si miran el registro lo borran rapido, pero no tiene que estar NINGUN explorer.exe en ejecucion, osea , hay que borrarlos desde el modo seguro. tmb el de install, es facil) el punto es: esta ***** de programa es un virus o los enfermos le meten virus? la ruta de compilacion del exe (troyano) es: c:\document....\administrador\source FUD\jasjanaisvsaac.vbp o algo asi aca les dejo el server para que lo analicen si quieren (yo no encuentro la parte que conecta, osea, a la ip que conecta.) pero creo que manda a un ftp, porq el imbecil no borro el comentario 'ejemplo de conectar al ftp con apis' o algo asi dice, http://www.sendspace.com/file/31f7bg ojo por ojo................... p.d: tambien crea en \system32\3.exe (que es el que subi) ------------------------------------------------- http://www.virustotal.com/file-scan/report.html?id=52c407037f5849a797eb54a985e40679f2f4035807e8c29db0da8a39945550d4-1304284479 ---------------------------------------------------- Título: Re: Dr Abuse , virus Publicado por: Novlucker en 2 Mayo 2011, 02:12 am Si quieres el Dr Abuse de verdad, bajalo de la web oficial :P
http://www.psicoactiva.com/abuse/drabuse.htm Estoy preparando una VM para echarle un ojo a esto que has subido :D Saludos Título: Re: Dr Abuse , virus Publicado por: CAR3S? en 2 Mayo 2011, 03:53 am ok nov, porfa chekea que:
en modo normal: 2 explorer.exe entradas del registro (hklm ---- run) (hklm ---- policies\explorer) busca la carpeta install (install, no installer) en windows y en system32 cuando tenga mas tiempo voy a analizar el exe, debe haber info util :rolleyes: :rolleyes: :rolleyes: Título: Re: Dr Abuse , virus Publicado por: skapunky en 2 Mayo 2011, 15:35 pm Que loco, a subido el exe sin comprimir ni contraseña, a pelo :xD, para la proxima ya sabes.
A ver, cositas que hace: - Crea los siguientes archivos: Citar C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Administrator2.txt C:\WINDOWS\system32\install\DIsk.exe - Crea el siguiente directorio: Citar C:\WINDOWS\system32\install\ - Se ejecuta bajo el siguiente proceso: Citar C:\WINDOWS\explorer.exe --> explorer.exe - Se copia en las siguientes claves para iniciarse con windows: Citar HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run Con el valor C:\WINDOWS\system32\install\DIsk.exe Dentro de un rato miraré su actividad de red si me da tiempo, por cierto está programado en visual basic ya que utiliza las librerias dependientes |