¿Que es Esto? ¡¡Un Emule Paralelo XD!!

Iniciado por Jaixon Jax, 21 Septiembre 2010, 19:19 PM

0 Miembros y 1 Visitante están viendo este tema.

Jaixon Jax

  Ayer estaba huzmeando en la red p2p y encontre un bonito rar con el nombre "Poker Bot"  ;D, lo descargue y pudo mas la Curiosidad que la Precaucion asi que me dije "A ver que hay aqui si me infecto Al diablo" ......

Aqui una muestra de lo que baje no es el original que baje ayer ya que fue exterminado ...  :silbar: asi que busque un archivo relacionado cuyo nombre  estaba en el code del bicho y aqui esta ...

Citarhttp://www.multiupload.com/UPFEC0XD88

 Bueno me quede esperando el cuadro de dialogo e informacion de instalacion de mi "Poker Bot", en vez de eso el instalador abrio el Firefox y me direcciono a una pagina de compras online pero de mi poker Bot nada  :-[ ... Asi que dije "Me jodieron", abri el administrador de tareas (Por lo menos abrio) y alli estaba un lindo proces SYSTEM con el nombre wins.exe, ademas note que cada 10 sg s eejecutaba una cosa llamada 7Zip.exe, eran las 2 am asi que apague la perola y me fui a dormir  .........

 Hoy me levanta encendi el PC y note sierta lentitud, el centro de seguridad de windows estaba en rojo y al abrir estaba el firewall de windows desactivado, y mi AV Avira estaba desactualizado, y desactivado  ;-)... lo primero que hice fue actualizar el AV.., hice un scan detecto el wins.exe pero cuando lo estaba borrando la pc se apago  :¬¬ asi que reinicie en modo a prueba de fallos y lo volvi a correr .......

 Al buscar con regedit el famoso wins.exe estaba instalado como servicio con el nombre Windows Internet Name Service, la cual borre por supuesto y tenia una llave para permisos en el firewall de windows , tambien borrado XD....... Alli vi el Directorio donde estaba esa cosa yo crei que era alguna copia de spynet, Biefrost, sub7 a lo mucho el rxbot pero cuando abro el directorio  :o  :o .....

 

 Vi carpetas como incoming, archivos . meat, nodos.dat  :-[ asi que me di cuenta que esto no era algo normal tiene toda la estructura de un Bot P2P  :-[ Abri la Carpeta Incoming y miren .......

 

 Esa captura fue sepues que pasara el avira por alli, habian por lo menos 100 archivos rar cuyos nombres Ivan desde Hack MSN.rar hasta Conter Strike 1.rar  :silbar:, lo mas raro es que revise el emule y esa carpeta no aparece compartida  :o por lo que intuyo que esa cosa inyecta el emule y envia info de esos archivos para compartir via hooks........

 Luego revise Server.met y encontre esto

 
Citarà   XP0á     88.80.28.48  88.80.28.48
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    &k¡`5    
38.107.161.96 
38.107.161.96
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    Ô?Î#'    
212.63.206.35 
212.63.206.35
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    Sé7"     83.233.30.55  83.233.30.55
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    :÷æ'     58.247.5.230  58.247.5.230
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    sïä     115.239.228.194  115.239.228.194
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    U(l‡     85.17.40.108  85.17.40.108
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    Ô³Žˆ     212.179.18.142  212.179.18.142
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    &k .5    
38.107.160.46 
38.107.160.46
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    X¿äBÇ    
88.191.228.66 
88.191.228.66
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    Ï¶,Û     207.182.157.130  207.182.157.130
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    u‡‰t¸"     117.135.137.116  117.135.137.116
         users     files              ‡     ˆ     ‰     ' Unknown ' Unknown '     "    

 Si pueden ver alli hay una lista de Ips que seguro estan infectadas y dado el nombre del archivo apuesto que son supernodos y una de esas ha de ser la del BoboMaster  :laugh:......

 Wins.exe es detectado por avira como "TR/ATRAPS G2", y esta cosa instala otro malware "7Zip.exe" que es detectado como "TR/Mowidin G2", No infecta Dispositivos USB ni tampoco ejecutables ........ El archivo nodos.dat esta cifrado  :-( .....

 Al buscar la muestra para subir vi esto ...

 

 Como veran en el circulo se puede ver que hay 561 fuentes disponibles asi que no es muy grande la red si tomamos en cuenta que todas esas pc estan infectadas ..... En mi opinion esta en gestacion  :silbar: ....

 Alli les dejo el binario para ver que mas le pueden sacar  ;-) ........

 No tiene mucho de nuevo lo que me llama la atencion es que es P2P  :o ....

 Saludos ...

lesone-

--------- #Elhacker.net   ---------------

^DeMoN^

no hiciste un netstat? para ver a que ip va?

o teconecta auna de las que te aparecio en la lista de server.met?

Ustedes controlan nuestras vidas, nosotros sus sistemas.

Server: irc.ex-terra.us 6667 Canal:#Terra

bizco

supongo que va por las propias del emule, para no poner archivos sospechosos en tu carpeta el maneja otra para que la gente se baje de tu pc las cosas.

[D4N93R]

Yo tú, monto eso en una VM, y pillo todo el tráfico de ese bicho, a ver si puedes dar con algo interesante !

Un saludo..

Jaixon Jax

  Pues aqui les dejo la captura de una busqueda que hice esta mañana, 2600 maquinas conectadas, si ayer habian 560 esa cosa esta creciendo  :rolleyes: me llama la atencion es que en esos rar esta el exe mas nada y asi y todo se las ingeniaron para que cada rar tenga un md5 diferente  :) por lo cual cambian el nombre del rar y el archivo queda apto para compartir, cuando tienen el mismo md5 emule solo comparte y envia info del primero que detecta, y  ese archivo va a responder a claves de busqueda relacionadas con su nombre, asi que si hacen una busqueda con otro nombre en otro equipo los otros clones no se comparten.....

 

[L]ord [R]NA

xD posiblemente simplemente escriben caracteres aleatorios dentro de un archivo... lo compilan con el que quieren compilar y ya tienen un hash diferente.

Jaixon Jax

#7
  Pues es una observacion en la carpeta incoming del directorio habian mas de 100 archivos rar todos con hash diferentes hay muchas formas de hacer eso el punto es que ese bicho cambia parte de su code para generar un hash diferente  :P.....

 Y si eso es muy facil xd .......   :silbar:

  Ademas si fuera yo incluiria un archivo valido como un video en el zip eso si corrupto, y el zip tendria el mismo nombre del archivo la victima se ve obligada a ejecutar el exe para ver le video ya que el exe repara el archivo y lo lanza  :silbar: ... Bueno asi lo haria yo xd  :laugh:

[D4N93R]

Como dice RNA, Solo basta con cambiar un byte del contenido del archivo para que cambie el hash.

PD: Queremos ver tráfico x)