Descifrando Malwared

[s3tH]

Que tal miembros del grupo, recientemente me estoy encontrando con archivos que son detectados por el antivirus específicamente por Kasperky, la duda que me surge es: que tipo de ofuscación esta ocupando ya que no veo ningún ejecutable, de antemano gracias:

(Nombre de los archivos)

{44319E6A-60B3-4F99-92F0-E0E07EAA11AF}.{0784CC1E-456D-4BFE-B063-1C3D9CC8F7E5}

IndexerVolumeGuid

desktop.ini

[_TTFH_3500]

Los nombres de esos archivos por sí solo no hacen nada, pero, en la ubicación correcta se convierten en ejecutables, por ejemplo  desktop.ini es un archivo que está oculto en el escritorio.
Dicho archivo contiene algo como:

Código (bash) [Seleccionar] Expandir

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183
[LocalizedFileNames]
Windows Media Player.lnk=@%SystemRoot%\system32\unregmp2.exe,-4
Internet Explorer (64-bit).lnk=@%windir%\System32\ie4uinit.exe,-735
Windows Live Mail.lnk=@C:\PROGRA~2\WIC4A1~1\Mail\maillang.dll,-21159
Windows Live Messenger.lnk=@C:\PROGRA~2\WIC4A1~1\MESSEN~1\msgslang.dll,-100
Internet Explorer.lnk=@%windir%\System32\ie4uinit.exe,-734
Paint.lnk=@%SystemRoot%\system32\shell32.dll,-22054

Si cambias el contenido ya tienes un malware, si lo colocas en otra ubicación no se va a ejecutar automáticamente, esto es una buena opción en vez de usar el registro.

El otro archivo {44319E6A-60B3-4F99-92F0-E0E07EAA11AF}.{0784CC1E-456D-4BFE-B063-1C3D9CC8F7E5} también es usado por el sistema, no sé exactamente para qué, pero el panel de control oculto de Win10 y la papelera de reciclaje usan algo parecido, es una manera de ocultar el ejecutable en una ubicación a la que no puedes acceder desde el explorer.exe con una direccion como C:\...\

El ultimo archivo IndexerVolumeGuid, pues no tengo idea.