Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Synth3tik0 en 24 Agosto 2011, 02:50



Título: Alguien tiene idea como funciona este malware?
Publicado por: Synth3tik0 en 24 Agosto 2011, 02:50
Hace un par de dias estaba bajando malware nuevo y me tope con este:
http://www.megaupload.com/?d=IIDHOINK (http://www.megaupload.com/?d=IIDHOINK)
Aparentemente es un keylogger que captura todo  con tan solo colocar un pendrive en el ordenador. Lo interesante es que q al querer descargarlo salta el antivirus(ovbiamente) pero si lo desactivo al terminar de descargarlo  desaparace o al menos eso crei hasta  q decidi ejecutarlo desde la ventana de descarga y descubri q se habria normalmente.

Como puede un archivo .rar normal desaparacer sin nisiquiera abrirlo?
alguien podria analizarlo o decirme como funciona nunca habia visto ese comportamiento

crei q si bajabas cosas comprimidas eran seguras si no las abrias




Título: Re: Alguien tiene idea como funciona este malware?
Publicado por: anonime en 29 Agosto 2011, 17:20
Estas seguro que era un .rar o era un disfraz ? :huh:


Título: Re: Alguien tiene idea como funciona este malware?
Publicado por: Novlucker en 30 Agosto 2011, 02:50
No se de que hablas, el archivo se descarga y abre normal. Es una "utilidad" con bastante tiempo de la cual hay varias versiones. No es más que un montón de aplicaciones para recuperar contraseñas (muchas de nirsoft) que se ejecutan por medio de algunos batch que a su vez inician a través de un autorun.inf. La salida de de esas herramientas se redireccionan a determinados archivos (contraseñas y demás), los cuales a su vez se guardan dentro del pendrive.

Saludos


Título: Re: Alguien tiene idea como funciona este malware?
Publicado por: Synth3tik0 en 30 Agosto 2011, 05:26
me refiero que al descargarlo con el el antivirus desactivado no lo encuentro en la carpeta de descarga mas sin embargo me abre perfectamente de la ventana de descarga de firefox(obviamente  me indica que se ha descargado correctamente).

acerca del autorun.inf que no microsoft ya le dio muerte? tengo mi sistema actualizado, uso nod32 y tengo 7

me estaba acordando de  Stream: Ocultación avanzada de archivos para equipos de hack x crack pero no recuerdo bien si una vez ocultos se podian mover o subir  a internet los archivos y seguir teniendo la misma propiedad oculta