Muestras De virus reales

Iniciado por Flamer, 8 Junio 2019, 23:37 PM

0 Miembros y 2 Visitantes están viendo este tema.

@XSStringManolo

Tengo un OS que no hace nada. Es decir, no usa ningún archivo por si solo. Se queda pausado. Con muchas herramientas. Y estoy ahora mismo con el virus analizando procesos, archivos abiertos, escritos, etc. En nada emito un report completo de toda la info que saque. Estoy con ello ahora.

@XSStringManolo

#11
De momento encontré varias cosas sospechosas. Pero debo contrastar esta información para eliminar la posibilidad de que ya tuviese malware en el equipo. Crearé otra máquina virtual limpia que tengo escaneada. Sigo haciendo pruebas de todos los archivos del sistema buscando modificaciones. De momento tengo lo siguiente:

XURU.ZIP No DOS or PE signature found. This file is not a valid 32-bit or 64-bit Windows module.
Metí dentro todo, archivos comprimidos, sin comprimir, con contraseña y sin contraseña.

Me encontré un hilo raro:
Name: System [4:160]
Type: Thread
Value: BB33E096
(Por mirar)

Registro:
REG1: CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG2:TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG3: Interface\{3F4DACA0-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG4: \VBScript.RegExp (Malware.Packer.Gen)

He detectado varios archivos:
msxml2.dll Malware Package
vbscript.dll Malware Package
wzcsvc.dll (Trojan.FakeAV)
sfcfiles.dll (Trojan.Patched)

Alguno puede que ya lo tuviese. Más adelante lo compruebo. Que este pc no toca ninguna red ni nada externo, asique no lo desinfecto si no me da problemas. Se que tengo varios keyloggers corriendo y puede que ek fajeav tambien lo tuviese pero ni me he molestado en desinfectar el sistema.



Los tenía todos. El archivo a analizar está limpio. No hay nada oculto. Solo esos scripts que no puedo ejecutar en mi sistema porque no tengo las dll necesarias.
A ver si encontrais algo. Puedes pasar los logs que decias de virustotal?
Los scripts no sé que hacen, pero hay que ejecutarlos a mano. Asique un virus como tal...
Podría ser un módulo, pero de por si solos no hacen nada de nada.
A ver si alguien que entienda los scripts .vb sabe lo que son.

Flamer

una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado


pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso


a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link

ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso

http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rar


Machacador

Cita de: Flamer en 19 Junio 2019, 18:12 PM
una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado


pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso


a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link

ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso

http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rar



Pues si existen los link de descarga automática, pero se siguen unos pasos previos para llegar a ellos como por ejemplo este: https://tb.rg-adguard.net/dl.php?go=c266e1a8

Si le das clik te empezara una descarga del Windows 10 1809, pero el link no esta por allí disponible sino que yo lo saque de un servicio de descargas luego delos mencionados pasos previos...

pero de seguro no faltara quien ponga link así en páginas para meterle virus a los incautos... pero si uno tiene gestores de descargas puede parar eso que no ha solicitado descargar, o si ve la descarga abajo en el navegador también la puede detener...

:rolleyes: :o :rolleyes:

Saludos.

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

Flamer

si los meten como publicidad en los enlaces acortados pero creo que pagan para eso.....yo estaba visitando un enlace acortado para descargar una película cuando se descargo el archivo rar que menciono al principio

@XSStringManolo

Cita de: Flamer en 19 Junio 2019, 18:12 PM
una cosa que no he explicado es que las descargas automáticas se generan dependiendo como tengas el navegador configurado


pero por defecto varios navegadores lo traen así....y cuando visitan un link donde este un exe, un rar o zip u otro archivo se descarga sin pedir permiso


a mi navegador no lee tentado nada y se descargan ese tipo de archivos sin pedir permiso, solo con visitar el link

ejemplo: visitar el siguiente link y ver si se descarga automáticamente sin pedir permiso

http://download1589.mediafire.com/cc0efbdqnisg/0j9pidarul8glhp/whastapp+hack+3.0+www.jynx-maze.info.rar


A mi no me descarga nada automaticamente.
Le tengo puesto para elegir la carpeta de descarga y así siempre me pregunta.
Pero ese link ni descarga automático.

Flamer

Cita de: string Manolo en 20 Junio 2019, 19:10 PM
A mi no me descarga nada automaticamente.
Le tengo puesto para elegir la carpeta de descarga y así siempre me pregunta.
Pero ese link ni descarga automático.


como dije eso es dependiendo de como tengas el navegador configurado y por defecto ami chrome no me pide permiso de aguardarlo o de elegir la carpeta donde se almacenara

varios navegadores traen eso por defecto y al visitar un link como el que deje arriba se descarga sin permiso

saludos

Hason

#17
mmmmmm

Acabo de entrar en la nueva página de descarga jeje.

Pues ya me ha hecho algo.

Cuento:

He abierto la página, pero no se me ha descargado autómaticamente, debia darle yo.

Pero no lo he descargado, me he fijado en la carpeta temp, y me habia generado un archivo raro.

Luego de eso, parecia funcionar todo correcto, pero no podia entrar en la página el hacker, me mostraba caida, no podia entrar de ninguna forma  :huh:

He hecho algo que alomejor no hacia falta, pero le he borrado de appdata todos los rastros del navegador , pero tampoco podia entrar a el hacker y e perdido todos los favoritos y contraseñas guardadas.

Nada, al final, he cogido la partición donde estaba instalado windows, y le he cambiado todos los permisos otra vez de todo, y ahora ya puedo entrar al hacker.

¿Que extraño no?

No llegué a descargar el archivo.

Y ya no lo descargo.

Aún me da algo de problemas, ahora mismo estaba caida la página el hacker , pero ya puedo entrar otra vez  :rolleyes: veré si me sigue dando problemas o no.

Saludos.

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/

@XSStringManolo

Muchos virus suelen usar la carpeta temp. Pero esos archivos están limpios. Les hice scan con más de 10 herramientas. Miré procesos, cambios en archivos, uso de memoria en tiempo real. Filtros a más de 200 procesos+ servicios del sistema, etc. Los pasé por virus total, etc. Todo limpio. Tanto los archivos originales del server como los que pasó otro usuario y absolutamente nada de nada. Me tiré 3 horas analizando y con escaneres corriendo. Si hay algo no funciona en mi sistema a pesar de ser bastante vulnerable.

Se crean archivos temporales todo el rato. Muchos programas se olvidan de borrarlos. Si alguien encuentra algo, que detalle como y lo que. Porque ya estaría en su sistema. Ni falsos positivos saqué.

Hason

Buenas.

Yo no he descargado el archivo en si, por lo que no se nada ni he analizado nada.

Yo solo me ha creado un archivo en temp, justo al abrir la página, pero con permisos de trusted installer y no habia ningún usuario ajeno.

Lo he borrado yo rápidamente, alomejor lo hubiera podido copiar pegar y subirlo para ver que era... ahora he entrado otra vez, pero ya no me aparece el archivo temporal...

Aparentemente ningún problema ahora.
Mi equipo es bastante vulnerable, pero bueno, funciona ok parece.
Si os paso una captura del visor de eventos alucinais con la de errores que hay...también por que he modificado muchas cosas.

No se si me ha tocado algo en el registro o algo más, ya veré...yo no uso antivirus, solo tengo el repair kit de pago crakeado y limpiadores de registro.

Aunque si tengo muchos programas de analisis de rootkits, kernel, e historias.

Bueno, lo dejo como un susto.

Tu sabes mucho más que yo, tal vez un ataque dirigido a mi equipo a sabiendas que podia entrar  a la página, aprovechando mis vulnerabilidades, no se, ni idea.

Saludos.
Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/