elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


  Mostrar Temas
Páginas: [1]
1  Seguridad Informática / Análisis y Diseño de Malware / Modificar un archivo .exe para extraer algún virus y salvar el ejecutable en: 23 Agosto 2023, 21:53 pm
Buenas tardes. Soy nuevo en este foro, así que no sé si es la categoría correcta para este hilo.

Mi problema es que hace poco mi pc se infectó con un virus el cual daña los archivos .exe de todo el computador. Algunos de estos archivos aún se pueden ejecutar (pero ejecutando el virus en segundo plano) mientras que la gran mayoría terminaron dañados, dando dos errores diferentes.

Una parte de los ejecutables infectados, sueltan un error APPCRASH al abrirlos, y se ejecutan dos veces (a pesar de que los abro una sola vez) mientras que otros sueltan un error que dice "*ruta del archivo* no es una aplicación Win32 válida". El objetivo del virus, supongo era ejecutar el archivo original y en segundo plano ejecutar el archivo infectado, quedando en segundo plano para infectar el resto del pc.

Luego, me di cuenta que ejecutaba un archivo al iniciar el pc, llamado "runouce.exe" el cual se encontraba oculto en las carpetas SYSWow64 y System32. De este archivo me encargué, no borrándolo, sino creando un archivo del mismo nombre sin nada de contenido y sobreescribiéndolo por el virus, para luego, negar todos los permisos posibles de lectura/modificación (generando así, algún tipo de inmunidad).

Sin embargo, mis archivos afectados seguían dañados, y si reinstalaba las aplicaciones afectadas, en el momento que sin querer, ejecutaba algo infectado, el proceso que se quedaba en segundo plano al dar error, volvía a infectar mi pc.

Lo más simple sería formatear, pero debido a la gran cantidad de drivers, juegos y programas (instaladores .exe) afectados, y a lo remoto del sitio donde vivo (que el internet es malísimo) me resultaría realmente difícil recuperar todo.

De manera que investigando todavía más, me di cuenta, que al abrir los archivos infectados, había una parte, que al compararlo con el mismo archivo sano, era nueva, texto o código agregado al final de todas las aplicaciones infectadas, una parte que era común denominador.

Pensé que simplemente con el bloc de notas, la parte que el virus agregaba bastaría, pero da error y lanza que "La versión de este archivo no es compatible con la versión de Windows que está ejecutando etc, etc" un error distinto al que el virus agregaba.

Luego probé ejecutar un juego infectado fuera de su carpeta, y para mí sorpresa, no ejecutaba el virus, daba un error ya que le faltaban dlls. Es decir, que en realidad, los ejecutables no están dañados, sino que simplemente, el virus fuerza a los programas a cerrar con un error.

En conclusión, y si alguien ha llegado hasta aquí, me gustaría saber, así como el virus modificó los .exe sin dañarlos, el cómo podría quitar la parte del virus y así poder salvar los ejecutables.

Estuve probando el PE Explorer pero en realidad, no sé cómo llegar a ese fragmento que el virus genera en todos los .exe.

Investigando un poco más encontré la siguiente página que tiene más información específica (resultó ser exactamente el mismo virus): https://www.virusradar.com/en/Win32_Chir.B/description
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines