Muestras De virus reales

Flamer · 8 Junio 2019, 23:37 PM

Resiente mente visite un enlace acortado y se descargo un archivo rar de las paginas de publicidad....primeramente aclaro que fue una descarga automática lo digo por que aquí en el foro hace alrededor de 5 o 6 años no recuerdo cuando pero un usuario de este foro me critico que no hay descargas automáticas en los navegadores que siempre tienes que aceptar la descarga....no se si fue mi ignorancia al no entender su punto o seria la ignorancia de el junto con su ego de que yo se mas que tu pero en fin eso ya paso y no se me olvida por que me quede con coraje por que creen saber mas que uno....no digo que se mucho pero se y entiendo un poco lo que pasa en mi ordenador y si yo le dije aquella ves que fue una descarga automática es por que lo fue en fin.

ese método al parecer lo siguen usando ciertas personas para propagar virus.....y como dije al principio visitando un enlace acortado se descargo un archivo rar de un enlace el cual ya tumbaron

al abri el rar y analizarlo un poco termine en esta pagina

==================Tengan cuidado hay virus en esta pagina abrir archivos con VM============================

http://68.183.219.162/modules/

http://68.183.219.162/modules/XoaMCAcp93K5AIL0GBKAA0H66aL5B4KG4NGEKB.vbs

lo muestro aquí para el que quiera analizar el malware y todos sus archivos creo que a alguien le interesara probar con malwares reales, pueden probar en maquinas virtuales

y como digo estas personas usan el método de propagar el virus en enlaces acortados y al visitar el enlace se descarga automaticamente al ordenador y como las personas son curiosas y sin saber que es siempre dan clic para ver que es y cuas se envirulean

bueno en fin saludos Flamer y tengan cuidado

Hason · 18 Junio 2019, 18:34 PM

Me has tentado a entrar.

Pero pone:

Not Found
The requested URL /modules/XoaMCAcp93K5AIL0GBKAA0H66aL5B4KG4NGEKB.vbs was not found on this server.

Apache/2.4.18 (Ubuntu) Server at ----ip------ Port 80

Yo queria virus.¿se ha caido el enlace?

Saludos.

Machacador · 18 Junio 2019, 18:47 PM

Nada... ninguno de los dos enlaces funcionan... grrrrrrr...

Salute.

Flamer · 18 Junio 2019, 19:29 PM

Cita de: Machacador en 18 Junio 2019, 18:47 PM
Nada... ninguno de los dos enlaces funcionan... grrrrrrr...

Salute.

llegaron tarde.......para mi punto de vista los enlaces duraron muchos días......en otras ocasiones no llegan a durar ni el día ya que de volada son reportadas

lo raro es que la dirección http://68.183.219.162/ si siga funcionando....pudo ser que el creador haya cambiado las carpetas, borrado las anteriores y creado otras o se las tumbaron

saludos

sytem200 · 18 Junio 2019, 21:01 PM

pero igual es una buena idea para los que recien empezamos

@XSStringManolo · 18 Junio 2019, 21:25 PM

Esos links los miré yo cuando creaste el post y no había nada que se descargase automáticamente. Analicé todo de arriba a abajo y ningún archivo tenía nada raro. Por el formato ves que es un .vb que era un script para windows, pero ni siquiera era autodescargable. Miré el contenido y no tenía nada raro. Por el título de la carpeta, deduje que era algún tipo de extension para un server de windows. No estoy seguro porque no tengo herramientas para analizar cabeceras, etc para deducir el sistema operativo del servidor. También creo haber visto un .zip y que no había nada extraño. Uso una sandbox para saber si tienen algo malicioso. Cuento el numero de bytes, del sandbox y sumo todo para saber si hay algo que no veo al abrir el zip, a parte meti el zip, las url y los archivos en virus total y nada. Te abrás confundido con la ip desde la cual se inicio la descarga. Puede que fuese un link que automáticamente te rediriguiese al servidor el cual compartiste.
Tampoco dijiste el archivo que se te descargó a ti.

Serapis · 18 Junio 2019, 21:57 PM

Yo también me lo bajé y los pasé por Virustotal y en efecto, cantan virus...

Lo localizo donde los puse, los empaqueto y los subo a una páguina de descarga.

Notad, que para evitar que la página de hospedaje lo detecte y elimine, he tenido que ponerle contraseña: 'elhacker'
Todo en minúsculas y sin las comillas simples, claro.

Copiar y pegar la dirección sin el guión delante y pegar en el navegador:
(he añadido unas notas en ocmentarios del zip, para el contenido dentro de otro fichero zip dentro).
-https://workupload.com/file/GGdXaxPE

@XSStringManolo · 18 Junio 2019, 22:51 PM

Pues yo los mande a virustotal.com y no me detectó nada.
Estarán cambiando los archivos continuamente? Voy a mirar el link que pasas.

Serapis · 18 Junio 2019, 22:59 PM

Cita de: string Manolo en 18 Junio 2019, 22:51 PM
Pues yo los mande a virustotal.com y no me detectó nada.
Estarán cambiando los archivos continuamente? Voy a mirar el link que pasas.

Es probable... si como dice Flamer, lo cambian contínuamente.

Flamer · 18 Junio 2019, 23:38 PM

Cita de: string Manolo en 18 Junio 2019, 21:25 PM
Esos links los miré yo cuando creaste el post y no había nada que se descargase automáticamente.

te edito lo que dije al principio en el primer mensaje

Citarvisitando un enlace acortado se descargo un archivo rar de un enlace el cual ya tumbaron

al abri el rar y analizarlo un poco termine en esta pagina

la verdad no reversie el exe, no lo abrí con el x32dbg... solo analice los script....pero para la forma de operar para mi son virus por eso solo que ese titulo

saludos