elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Scripting
| | |-+  virus extraño crear vacuna
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: virus extraño crear vacuna  (Leído 3,834 veces)
asdexiva

Desconectado Desconectado

Mensajes: 217



Ver Perfil
virus extraño crear vacuna
« en: 14 Junio 2013, 22:19 pm »

habra alguna forma de crear una vacuna en bat sobre este virus


el acceso directo en el destino muestra esto
DESTINO:%homedrive%\WINDOWS\System32\rundll32.exe 0~N.xxc,rundll32
y en la descripcion dice esto
 Ejecutar un archivo DLL como una aplicación
analize el archivo desktop.ini y es un troyano lo raro es que ni avast ni norton lo detectan solo el desktop los demas archivos no xD

anexo el virus por si alguien se anima :S quitarlo del usb es facil pero del pc no :S
http://depositfiles.com/files/g815yqsf6

el archivo se propaga con el archivo rundll32.exe :S


En línea

General Dmitry Vergadoski


Desconectado Desconectado

Mensajes: 890


General de División.


Ver Perfil
Re: virus extraño crear vacuna
« Respuesta #1 en: 15 Junio 2013, 04:30 am »

eso es un gusano no un virus, bueno y ni siquiera hay un método efectivo para vacunar el pendrive ante el famoso gusano que oculta las carpetas, y en este que muestras mucho menos., yo he intentado con panda vaccine y muchos otros y siempre el gusano termina infectando el pendrive.


En línea

Primero mártir que arrodillado frente una dictadura.
SmartGenius

Desconectado Desconectado

Mensajes: 181


:P


Ver Perfil WWW
Re: virus extraño crear vacuna
« Respuesta #2 en: 10 Agosto 2013, 00:07 am »

Hola, la verdad me gusta hacer este tipo de cosas, no hace mucho me tope con ese virus y por alguna razon se me hizo conocido o crei haberlo visto (a veces entro a leer aqui) por lo cual me di a la tarea de infectar una maquina de pruebas para anlizar el comportamiento de dicho malware y crear un script de desinfeccion tanto del sistema como de memorias que se encuentren conectadas, restaurando los archivos a su pocision original...

El virus al ejecutarse se adhiere a un proceso nativo del sistema para pasar desapercibido y desde alli infecta los nuevos dispositivos o memorias que se inserten, asi mismo esta constantemente ocultando archivos y asegurando que no se borren sus claves de registro.


El script lo que hace es (cerrar proceso nativo, limpiar temporales, analizar el registro y eliminar el virus, analizar las memorias USB y desinfectarlas)

Código:
@Echo Off

:: S.M.A.R.T - Simplified Malware Analisis and Removal Tool
:: This Script Removes FakeUSB Malware
:: TR/Crypt.Xpack.5314 - Worm.Gamarue.B - W32/Wauchos.LB!tr - Backdoor.Win32.Androm
:: https://www.virustotal.com/es/file/b832b82aa3656c9e2b62d693d9ee7c8b64bd1bd058b50506194eb9fa8ee9182a/analysis/1376005565/
:: Version: 1.0 (08-08-2013) Coded by SmartGenius


:Vars
Set "RunKey=HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
Set "Process=wupdmgr.exe"


:Main
Cls&Echo.
Echo.  This Script Removes FakeUSB Malware - Coded by SmartGenius
Echo.  Please Wait...
For %%A in (Kill, CleanTemp, RegKey, Removable) do (Call :%%A)
Echo.
Echo.  Job Finished
Start "" Explorer
Echo.&Pause&Exit


:Kill
Echo.  Checking if process is currently running...
Tasklist|find "%Process%" >nul
If %Errorlevel% EQU 0 (
Echo.  Process "%Process%" ... is Running^!
Taskkill /F /Im %Process% 2>nul
Echo.  Process "%Process%" ... Terminated^!
) else (Echo.  Echo.  Process:%Process% ... is not Running.)
Taskkill /F /Im explorer.exe >nul
Goto :Eof

:Regkey
Echo.  Analyzing Run Registry keys
For /f "tokens=1,2,3" %%F in ('REG QUERY %RunKey%^|find ".com"') do (
Echo.&Echo.  Entry: %%F&Echo.  File : %%H
Set "VFile=%%H"
Set "RKey=%%F"
)
Echo.  Deleting Key : "%RKey%"
REG DELETE %Runkey% /v %RKey% /f 2>nul
Echo.  Deleting File: "%VFile%"
Del /F /Q "%VFile%" 2>nul
Goto :Eof

:CleanTemp
Echo.  Deleting Temporaly Files and Folders
Pushd %temp%
For /f "tokens=1" %%D in ('DIR /B /A:D') do (RD /S /Q %%D 2>nul)
Del /f /q *.* 2>nul
Popd
Goto :Eof

:Removable
Echo.  Analyzing removable drives
For %%U in (E,F,G,H,I,J,K,L,M,N,O) do (
If Exist "%%U:\Thumbs.db" (
Echo.  Deleting malware from %%U:
Ping -n 1 127.0.0.1 >nul
Pushd %%U:
Attrib -r -s -h -a *.* >nul
For %%X in (lnk, xxc, ini, inf, db) do (Del /f /q *.%%X >nul)
Pause
Echo.  Restoring Files...
Cd "ÿ"
Move /Y * %%U:\ >nul
For /f "tokens=*" %%D in ('dir /b /a:d') do (Move /Y "%%D" %%U:\)
Cd\&Rd "ÿ" /S /Q >nul
Popd
))
Goto :Eof


Espero que sea de ayuda, si tienes dudas acerca de su funcionamiento no dudeis en comentar

Saludos.
En línea


Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pequeña vacuna para USB en Vb.net
.NET (C#, VB.NET, ASP)
Christian010 3 10,101 Último mensaje 11 Septiembre 2008, 23:27 pm
por Christian010
Extraño problema al tratar de crear usuario con SQL Server Management 2005
Bases de Datos
Xedrox 4 4,707 Último mensaje 14 Noviembre 2010, 18:53 pm
por [D4N93R]
Extraño virus
Windows
inquilin@19 8 3,837 Último mensaje 22 Mayo 2013, 17:30 pm
por Saberuneko
virus algo extraño
Seguridad
asdexiva 8 6,973 Último mensaje 13 Junio 2013, 13:02 pm
por r32
¿Os pondreis la vacuna del Coronavirus cuando este disponible?. « 1 2 3 4 »
Foro Libre
crazykenny 36 13,919 Último mensaje 21 Diciembre 2020, 20:23 pm
por General Dmitry Vergadoski
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines