Foro de elhacker.net

Programación => Scripting => Mensaje iniciado por: asdexiva en 14 Junio 2013, 22:19 pm



Título: virus extraño crear vacuna
Publicado por: asdexiva en 14 Junio 2013, 22:19 pm
habra alguna forma de crear una vacuna en bat sobre este virus

(http://i43.tinypic.com/mvs27o.jpg)
el acceso directo en el destino muestra esto
DESTINO:%homedrive%\WINDOWS\System32\rundll32.exe 0~N.xxc,rundll32
y en la descripcion dice esto
 Ejecutar un archivo DLL como una aplicación
analize el archivo desktop.ini y es un troyano lo raro es que ni avast ni norton lo detectan solo el desktop los demas archivos no xD

anexo el virus por si alguien se anima :S quitarlo del usb es facil pero del pc no :S
http://depositfiles.com/files/g815yqsf6 (http://depositfiles.com/files/g815yqsf6)

el archivo se propaga con el archivo rundll32.exe :S


Título: Re: virus extraño crear vacuna
Publicado por: Siempre Azul en 15 Junio 2013, 04:30 am
eso es un gusano no un virus, bueno y ni siquiera hay un método efectivo para vacunar el pendrive ante el famoso gusano que oculta las carpetas, y en este que muestras mucho menos., yo he intentado con panda vaccine y muchos otros y siempre el gusano termina infectando el pendrive.


Título: Re: virus extraño crear vacuna
Publicado por: SmartGenius en 10 Agosto 2013, 00:07 am
Hola, la verdad me gusta hacer este tipo de cosas, no hace mucho me tope con ese virus y por alguna razon se me hizo conocido o crei haberlo visto (a veces entro a leer aqui) por lo cual me di a la tarea de infectar una maquina de pruebas para anlizar el comportamiento de dicho malware y crear un script de desinfeccion tanto del sistema como de memorias que se encuentren conectadas, restaurando los archivos a su pocision original...

El virus al ejecutarse se adhiere a un proceso nativo del sistema para pasar desapercibido y desde alli infecta los nuevos dispositivos o memorias que se inserten, asi mismo esta constantemente ocultando archivos y asegurando que no se borren sus claves de registro.


El script lo que hace es (cerrar proceso nativo, limpiar temporales, analizar el registro y eliminar el virus, analizar las memorias USB y desinfectarlas)

Código:
@Echo Off

:: S.M.A.R.T - Simplified Malware Analisis and Removal Tool
:: This Script Removes FakeUSB Malware
:: TR/Crypt.Xpack.5314 - Worm.Gamarue.B - W32/Wauchos.LB!tr - Backdoor.Win32.Androm
:: https://www.virustotal.com/es/file/b832b82aa3656c9e2b62d693d9ee7c8b64bd1bd058b50506194eb9fa8ee9182a/analysis/1376005565/
:: Version: 1.0 (08-08-2013) Coded by SmartGenius


:Vars
Set "RunKey=HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
Set "Process=wupdmgr.exe"


:Main
Cls&Echo.
Echo.  This Script Removes FakeUSB Malware - Coded by SmartGenius
Echo.  Please Wait...
For %%A in (Kill, CleanTemp, RegKey, Removable) do (Call :%%A)
Echo.
Echo.  Job Finished
Start "" Explorer
Echo.&Pause&Exit


:Kill
Echo.  Checking if process is currently running...
Tasklist|find "%Process%" >nul
If %Errorlevel% EQU 0 (
Echo.  Process "%Process%" ... is Running^!
Taskkill /F /Im %Process% 2>nul
Echo.  Process "%Process%" ... Terminated^!
) else (Echo.  Echo.  Process:%Process% ... is not Running.)
Taskkill /F /Im explorer.exe >nul
Goto :Eof

:Regkey
Echo.  Analyzing Run Registry keys
For /f "tokens=1,2,3" %%F in ('REG QUERY %RunKey%^|find ".com"') do (
Echo.&Echo.  Entry: %%F&Echo.  File : %%H
Set "VFile=%%H"
Set "RKey=%%F"
)
Echo.  Deleting Key : "%RKey%"
REG DELETE %Runkey% /v %RKey% /f 2>nul
Echo.  Deleting File: "%VFile%"
Del /F /Q "%VFile%" 2>nul
Goto :Eof

:CleanTemp
Echo.  Deleting Temporaly Files and Folders
Pushd %temp%
For /f "tokens=1" %%D in ('DIR /B /A:D') do (RD /S /Q %%D 2>nul)
Del /f /q *.* 2>nul
Popd
Goto :Eof

:Removable
Echo.  Analyzing removable drives
For %%U in (E,F,G,H,I,J,K,L,M,N,O) do (
If Exist "%%U:\Thumbs.db" (
Echo.  Deleting malware from %%U:
Ping -n 1 127.0.0.1 >nul
Pushd %%U:
Attrib -r -s -h -a *.* >nul
For %%X in (lnk, xxc, ini, inf, db) do (Del /f /q *.%%X >nul)
Pause
Echo.  Restoring Files...
Cd "ÿ"
Move /Y * %%U:\ >nul
For /f "tokens=*" %%D in ('dir /b /a:d') do (Move /Y "%%D" %%U:\)
Cd\&Rd "ÿ" /S /Q >nul
Popd
))
Goto :Eof


Espero que sea de ayuda, si tienes dudas acerca de su funcionamiento no dudeis en comentar

Saludos.