Buscando malware en el P2P: Open.exe

Ver el tema anterior Ver el tema siguiente Ir abajo

Buscando malware en el P2P: Open.exe

Mensaje  r32 el Lun Mayo 16, 2011 11:14 pm

Pues ayer pescando algun virus del P2P, me encontré con esto:



En un primer instante he analizado el primer ejecutable que tiene el icono de un pdf, aunque con extension .exe.
Lo primero analizar el compilado y compresión:





El tamaño del fichero comprimidido es de 414 KB, una vez descomprimido con UPX, pesa 1,19 MB. Con un editor hexadecimal o el Olly podemos ver casi siempre
si se ha utilizado algun compresor:



En un principio tan solo queria analizar los tipos de compilado y compresión, pero sin querer ejecuté el ejecutable infectado y empezó la fiesta...
Como de costumbre antes de empezar con el analisis ejecuto el MJRegWatcher, por cosas como esta de ejecutarlo sin querer, bueno mas bien estaba cambiando las pilas del mouse...
Aqui la captura, bloqueó ciertos cambios que quería seguir realizando, otros no pudo bloquearlos:



Como no un sniffer para ver las conexiones, dió su fruto y me dió la IP utilizada: (utilicé el modulo SniffHit del SysAnalyzer por separado)
Posteriormente denuncié a la web de no-ip sobre la cuenta utilizada para que almenos se la aliminen, aunque tendrá otras...



Cambios realizó varios en la PC, aunque no me dió tiempo a hacer comparativas de imagenes con Regshot ni Systracer, no era el objetivo y no los ejecuté, lástima.
Aqui las ramas del registro en los Autorun de HKCU y HKLM:



Se inyectó en el proceso del I.Explorer, al finalizarlo volvia a ejecutarse, estaba cargado en memoria (el PC no se reinició hasta el final):



Lo intenté capturar en el momento en el que se convertía el proceso del open.exe en el proceso del Internet Explorer. El nombre de proceso en el administrador de tareas es "windows.exe", ejecutable oculto y como archivo de sistema, típico ya.
Por probar un rato le intenté denegar los privilegios sobre las cuentas del sistema, pero no funcionó:



Entonces pensé, y si lo hago al revés, denegar los privilegios sobre el internet explorer, sin privilegios no se ejecutará ni cargará en memoria y así fué, ahora tan solo hacia falta reiniciar el proceso del malware y por así decirlo des-inyectarlo del proceso al cual se habia inyectado. Funcionó y ahora se mostraba su nombre de proceso y otros datos en las especificaciones del programa, aunque seguía sin dejarse eliminar.
Aqui alguna captura mas de los recursos que utilizaba:



Luego ya me aburrí un poco, estaba cansado, si me quería deshacer del bicho tendría que reiniciar en modo seguro o con Ubuntu y eliminarlo de forma manual, así que al final para no darle mas vuelta le pasé el Malwarebytes, que encontró la infección rápido.
Por curiosidad comentar que Malwarebytes eliminó la infección, pero no se porqué se lastimó y dejó de funcionar despues del reinicio:



Entre otras cosas dumpeé los procesos del open.exe y el ejecutable cargado, le hice un log con el SysInspector y en un primer paso lo abrí con el Olly, ya en un principio mostraba el típico cartel de aviso de que el contenido del ejecutable estaba encriptado. Contenia muchas cadenas unicode bastante largas, tendría que haber intentado descifrarlas , pero...
Para otra vez, ya que me pongo a analizar intentaré hacerlo con las capturas de las modificaciones en el sistema de archivos y registro mas a fondo.
Para terminar comentar los archivos que creó:

C:\Archivos de programa\windows.exe (dejando la carpeta entera oculta al administrador)
C:\WINDOWS\Temp\UuU.uUu
C:\WINDOWS\Temp\XxX.xXx
C:\WINDOWS\Temp\i4jdel0.exe
C:\Documents and Settings\Administrador\Datos de programa\logs.dat
Eliminó atributos a ficheros como ntldr, autoexec.bat y algun otro (esto lo vi con el MJRegWatcher, aunque no tengo captura).

Un saludo.
avatar
r32
Admin
Admin

Mensajes : 81
Puntos : 1696
Fecha de inscripción : 21/02/2011

https://www.elhacker.net/

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.