infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos

Iniciado por Graphixx, 14 Octubre 2013, 03:14 AM

0 Miembros y 1 Visitante están viendo este tema.

ThunderCls

Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link

http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/

Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual

http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html

Saludos
-[ "...I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/

danny920825

CitarHola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link

http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/

Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual

http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html

Saludos
revise el link ya que soy cubano y pude acceder facilmente a esa direccion, pero lo que realmente interesaria seria una copia full del script para poderlo analizar a fondo, no que alguien solamente muestre parte del codigo y su forma de desinfectar las pc. Por favor repito como 100pre digo, no es para fines villanos de gobernar el mundo, solo para aprender sobre codigos que no vienen en los manuales de vbs que existen en internet. Si Alguien puede postearlo aki o enviarmelo ya sea via MP o e-mail danny920825@gmail.com se lo voy a agradecer.
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

Mad Antrax

Cita de: [ Thunder | CLS ] en 19 Octubre 2013, 22:37 PM
Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link

http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/

Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual

http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html

Saludos

Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

danny920825

Cita de: ||MadAntrax|| en 21 Octubre 2013, 19:19 PM
Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(
eso pasa, pero por favor, dime si es posible obtener el codigo completo del programa
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

#!drvy

Red Mx el creador de Snow y y muchos otros tambien cuenta con un antivirus USB... Mx ONE...lo que pasa es que hace mucho que no se actualizan las firmas...

http://www.mxone.net/
http://ldc.mx/

En su blog explica como "defenderse" de este virus.
http://www.mxone.net/blog/?p=690

PD: Es colaborador en el foro.

Saludos

burbu_1

Cita de: Graphixx en 14 Octubre 2013, 03:14 AM
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???



Citarhttp://research.pandasecurity.com/Panda-USB-Vaccine-with-NTFS-Support/

hace lo que dijo MCKSys..... pero no pensaron en crear un archivo..... :laugh: :laugh: :laugh:


ThunderCls

Cita de: ||MadAntrax|| en 21 Octubre 2013, 19:19 PM
Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(

Solo quiero hacer algunas aclaraciones:

1- Si vez la fecha de mi post en el blog (12/10/2013) veras que es mas antigua que la del tuyo (16/10/2013)
2- Mi analisis "se supone" que tiene que ser "igual" que el tuyo ya que estamos hablando del mismo malware solo con unas ligeras modificaciones entre ellos. Vamos que si cualquier otro hace un estudio del script llegara a las mismas conclusiones que tu y no por eso vamos a decir que te lo "copio"
3- En mi respuesta comente acerca del hilo con tu analisis, hasta puse el link...no crees que si estuviera "robando" tu trabajo seria algo estupido hacer eso?
4- Siempre me a molestado eso de que te copien tu trabajo y te lo falsifiquen, por lo que me opongo a los que lo practican y por ende a practicarlo yo mismo, ademas, no tengo necesidad de eso, no sere ELITE, pero si se reversear, y mucho mas un simple script malware.

Saludos
-[ "...I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/

TheChivo

No se ustedes, pero creo yo que mientras mas difusion haya pues, mejor, no?

En fin, realmente vine aqui para pedirle a graphixx que, de ser posible, abra el vbs con block de notas y en pastebin u otra herramienta comparta el código para su analisis. Por mi parte yo tuve una muy agradable experiencia deshaciendome de "fyzbnaksvu..vbs" gracias  a la valiosa colaboracion (cof cof yo me pase de gorra XD cof cof) de ||MadAntrax||, solo necesite afinar algunos detalles para recolectar la basura pero fue todo, si se proporciona el codigo fuente, se puede pasar a a analizar, comparar y ver las diferentes mutaciones de estos virus (ya he visto mas, hay otro rondando llamado "microsoft.vbs")

De momento, es todo, un saludo desde la tierra de los tacos XD

Graphixx

Ya me toca esperar a que el Medico al que le arregle la USB se vuelva a infectar, y me parece sospechoso que el virus este bastante arraigado entre los profesionales de la SALUD de mi Pais, ya que son estos los que mejores ingresos economicos tienen, yo no descartaria que el virus sea un metodo de hacerles carding a esos profesionales. Ya el me comento que a medidos del 2011 le robaron de la tarjeta de credito alrededor de $2000 US dolares, el banco jamas identifico a los asaltantes y mucho menos le devolvio el dinero a el, asi que es toda una mafia la que hay detras de este pequeño bichito.

La empresa que esta infectada con el virus se llama METROSALUD, y es la entidad de salud mas grande del PAIS.
Nada tiene fin solo hay pequeñas pausas, pausas que determinan el comienzo de otros. Graphixx
Mi blog