Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: Graphixx en 14 Octubre 2013, 03:14



Título: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: Graphixx en 14 Octubre 2013, 03:14
Mis padres en sus oficinas cada rato llegan a casa con sus USB infectadas por qecddxsldm.vbs
puedo volver los archivos ocultos a su estado normal con el programa USB Show (http://ldc.mx/usbshow.php),
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???


En casa las desinfecto con Kaspersky.


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: noele1995 en 14 Octubre 2013, 14:16
No se puede instalar un AV en una memoria usb, el AV hay que instalarlo en el pc infectado.


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: Flamer en 16 Octubre 2013, 00:06
hola graphix nose que otras utilidades tiene ese programa pero desde la consola puedes volver los archivos a su normalidad y borrar los accesos directos asi:

Código:
attrib -s -r -h /s /d & del /f *.lnk


otra cosa si es vbscript puedes analisar la muestra  y de paso puedes subir otra aca al foro

saludos Flamer


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: MCKSys Argentina en 16 Octubre 2013, 00:32
Si es USB, deberia ejecutarse usando autorun.inf, no?

Si es asi, una vez limpio el USB puedes crear un directorio autorun.inf en el USB. Colocarlo como solo lectura, sistema (no oculto, asi sabes si hay cambios en el USB).

Luego adentro le metes un file de 1 a n bytes, que se llame como sea. Batsa con que el directorio no este vacio.

Ese file podria ser readonly/sistema tambien.

Y con eso deberia bastar, siempre y cuando el virus no la borre (aunque si lo intenta, deberia tener en cuenta que no es un archivo sino un directorio y que ademas, esta lleno).

Saludos!


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: Flamer en 16 Octubre 2013, 01:23
Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: MCKSys Argentina en 16 Octubre 2013, 04:06
Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer

OK, pero si partis desde la base que tu maquina no esta infectada, la pregunta es: como se infecta? Como se ejecuta el virus? Como hace para crear los .lnk? Usa un exploit?


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: TheChivo en 16 Octubre 2013, 07:13
MCKSys Argentina

Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.
Ahora cuando metas una USB sana la maquina modificara todos los programas y archivos de la USB para que el proceso se repita, yoo lo llamo "El CiberSIDA"

Llendo por este tema, me cayó uno de esos que usan VBS pero lo pobre en un nuevo post a ver que sale y si me pueden ayudar a deshacerme de el, si quieren verlo y tratar de figurar que hace, aqui esta el post http://foro.elhacker.net/analisis_y_diseno_de_malware/infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.htm (http://foro.elhacker.net/analisis_y_diseno_de_malware/infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html)l . Suerte!


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: Flamer en 16 Octubre 2013, 20:27
Citar
OK, pero si partis desde la base que tu
maquina no esta infectada, la pregunta es:
como se infecta? Como se ejecuta el virus?
Como hace para crear los .lnk? Usa un
exploit?
hola fly para infectar la maquina se tiene que ejecutar el virus y para eso el acceso directo ejecuta esto en la ruta que tiene;

Código:
cmd /c virus.vbs&archivo.txt

y para crear los lnk pues en vbs se puede

saludos flamer


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: MCKSys Argentina en 17 Octubre 2013, 15:42
Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.

Ahhhh, asi si. En ese caso el consejo es basico: quítenle la pc al user y mándenlo a aprender antes de usarla... jejeje  >:D

O bien pongale un AV que permita bloquear los .lnk en unidades extraibles, o hagan un proggie que haga eso...

Saludos!


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: TheChivo en 18 Octubre 2013, 09:44
jajaja, Andamos desde el año 2000 queriendo educar al usuario, pero parece ser que no les interesa aprender, solo quieren bajar musica con kazaa, limewire, ares, quieren instalar una version de Halo que se bajaron que pesa 300kb, solo  les interesa meter memoria copiar, pegar, sacar, y ponerse a compartir en facebook que desayunaron. Para nada se interesan en conocer los riesgos del ambiente en que se mueven.

El usuario siempre será el eslabon mas debil. El acceso ilegal a cuentas ya no se hace por cracking o por "hackeo" sino que se usa ingenieria social para engañar al usuario y hacer que este te de su contraseña (tecnicamente, esto hace que no sea ilegal, pero bueno, no soy abogado). Bueno, solo queria comentar eso, ya me retiro que acá ya son las 3 am y tengo sueño XD.

Salu2!


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: ThunderCls en 19 Octubre 2013, 22:37
Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link

http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/

Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual

http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html

Saludos


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: danny920825 en 21 Octubre 2013, 17:44
Citar
Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link

http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/

Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual

http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html

Saludos
revise el link ya que soy cubano y pude acceder facilmente a esa direccion, pero lo que realmente interesaria seria una copia full del script para poderlo analizar a fondo, no que alguien solamente muestre parte del codigo y su forma de desinfectar las pc. Por favor repito como 100pre digo, no es para fines villanos de gobernar el mundo, solo para aprender sobre codigos que no vienen en los manuales de vbs que existen en internet. Si Alguien puede postearlo aki o enviarmelo ya sea via MP o e-mail danny920825@gmail.com (http://danny920825@gmail.com) se lo voy a agradecer.


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: Mad Antrax en 21 Octubre 2013, 19:19
Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link

http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/

Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual

http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html

Saludos

Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: danny920825 en 24 Octubre 2013, 18:13
Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(
eso pasa, pero por favor, dime si es posible obtener el codigo completo del programa


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: #!drvy en 24 Octubre 2013, 18:17
Red Mx el creador de Snow y y muchos otros tambien cuenta con un antivirus USB... Mx ONE...lo que pasa es que hace mucho que no se actualizan las firmas...

http://www.mxone.net/
http://ldc.mx/

En su blog explica como "defenderse" de este virus.
http://www.mxone.net/blog/?p=690

PD: Es colaborador en el foro.

Saludos


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: burbu_1 en 24 Octubre 2013, 19:24
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???


Citar
http://research.pandasecurity.com/Panda-USB-Vaccine-with-NTFS-Support/

hace lo que dijo MCKSys..... pero no pensaron en crear un archivo..... :laugh: :laugh: :laugh:



Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: ThunderCls en 28 Octubre 2013, 19:17
Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(

Solo quiero hacer algunas aclaraciones:

1- Si vez la fecha de mi post en el blog (12/10/2013) veras que es mas antigua que la del tuyo (16/10/2013)
2- Mi analisis "se supone" que tiene que ser "igual" que el tuyo ya que estamos hablando del mismo malware solo con unas ligeras modificaciones entre ellos. Vamos que si cualquier otro hace un estudio del script llegara a las mismas conclusiones que tu y no por eso vamos a decir que te lo "copio"
3- En mi respuesta comente acerca del hilo con tu analisis, hasta puse el link...no crees que si estuviera "robando" tu trabajo seria algo estupido hacer eso?
4- Siempre me a molestado eso de que te copien tu trabajo y te lo falsifiquen, por lo que me opongo a los que lo practican y por ende a practicarlo yo mismo, ademas, no tengo necesidad de eso, no sere ELITE, pero si se reversear, y mucho mas un simple script malware.

Saludos


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: TheChivo en 29 Octubre 2013, 09:40
No se ustedes, pero creo yo que mientras mas difusion haya pues, mejor, no?

En fin, realmente vine aqui para pedirle a graphixx que, de ser posible, abra el vbs con block de notas y en pastebin u otra herramienta comparta el código para su analisis. Por mi parte yo tuve una muy agradable experiencia deshaciendome de "fyzbnaksvu..vbs" gracias  a la valiosa colaboracion (cof cof yo me pase de gorra XD cof cof) de ||MadAntrax||, solo necesite afinar algunos detalles para recolectar la basura pero fue todo, si se proporciona el codigo fuente, se puede pasar a a analizar, comparar y ver las diferentes mutaciones de estos virus (ya he visto mas, hay otro rondando llamado "microsoft.vbs")

De momento, es todo, un saludo desde la tierra de los tacos XD


Título: Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
Publicado por: Graphixx en 29 Octubre 2013, 18:05
Ya me toca esperar a que el Medico al que le arregle la USB se vuelva a infectar, y me parece sospechoso que el virus este bastante arraigado entre los profesionales de la SALUD de mi Pais, ya que son estos los que mejores ingresos economicos tienen, yo no descartaria que el virus sea un metodo de hacerles carding a esos profesionales. Ya el me comento que a medidos del 2011 le robaron de la tarjeta de credito alrededor de $2000 US dolares, el banco jamas identifico a los asaltantes y mucho menos le devolvio el dinero a el, asi que es toda una mafia la que hay detras de este pequeño bichito.

La empresa que esta infectada con el virus se llama METROSALUD, y es la entidad de salud mas grande del PAIS.