Virus, Ni idea de lo que hace.

Iniciado por **Aincrad**, 13 Febrero 2020, 15:54 PM

0 Miembros y 1 Visitante están viendo este tema.

**Aincrad**

Hola, bueno Resumo :

Hoy en la mañana cuando enciendo mi PC , note que el proceso Chrome.exe esta abierto y en segundo plano, tambien note que crea otros .exe en el pendrive en una carpeta llamada "Recicle" o algo asi.

al parecer es un stealer de Google Chrome , bueno eso parece , lo raro es que no encontre entradas al registro u alguna manera para que se auto ejecutase al encender mi PC. bueno aqui lo dejo para el que lo quiera analizar :

https://anonfile.com/N6l2B0Y9n2/Virus_rar




@XSStringManolo

#1
Cita de: **Aincrad** en 13 Febrero 2020, 15:54 PM
Hola, bueno Resumo :

Hoy en la mañana cuando enciendo mi PC , note que el proceso Chrome.exe esta abierto y en segundo plano, tambien note que crea otros .exe en el pendrive en una carpeta llamada "Recicle" o algo asi.

al parecer es un stealer de Google Chrome , bueno eso parece , lo raro es que no encontre entradas al registro u alguna manera para que se auto ejecutase al encender mi PC. bueno aqui lo dejo para el que lo quiera analizar :

https://anonfile.com/N6l2B0Y9n2/Virus_rar
Crees que es del propio Chrome? O de algún malware que puedas tener instalado?
Miraste en las carpetas típicas?

Chequeaste el tráfico de red? Será un autoupdater o algo así? Tienes el propio Chrome que se te inicia al arrancar? Igual solo cerraste la ventana de Chrome pero mantiene pocresos en el background?

PD: Lo miraste algo? Ten cuidado a ver si se creó dinámicamente y tiene hardcodeado o embebido movidas personales tuya tipo cookies y demás.

EdePC

Saludos,

- De momento puedo decir que el fichero chrome.exe està firmado digitalmente y parece estar correcto, sin embargo el otro fichero raro es detectado como troyano por mi Windows Defender (Windows 8) actualizado en 04/01/2020 (haber si lo actualizo de paso XD).

- He ejecutado ese archivo raro y no he visto que me cree entradas de AutoArranque en el PC, lo que si he visto es que se "inyecta" (no se si sea el termino correcto) al navegador por defecto, ya sea IE, Chrome (con otro no he probado) y empieza a monitorizar las unidades USB, ha creado el Autorun.inf y el recycler que mencionas, pero no he visto que me oculte carpetas o renombre archivos o nada. Aunque esta USB solo tiene imágenes y carpetas XD.

- Yo usaría Autoruns para buscar donde se está autoarrancando con Chrome en tu caso. ProcessHacker, ProcessMonitor y ProcessExplorer me dicen que el proceso IE o Chrome en tu caso tienen abierto (Handles) el .exe que has subido y que ese mismo es su Parent.

- No había visto algo así, al menos no hasta ahora o que me haya dado cuenta XD, tampoco es que analice mucho malware.

@XSStringManolo

#3
Utiliza \MountPointManager
infecta:
C:\Program Files\Microsoft\DesktopLayer.exe
Misma Ruta\px4735.tmp

\SystemRoot\AppPatch\sysmain.sdb

C:\Program Files\Internet Explorer\dmlconf.dat

C:\Program Files\7-Zip\7z.exe
C:\Program Files\7-Zip\7zFM.exe
C:\Program Files\7-Zip\7zG.exe

C:\Program Files\Adobe\ Aquí infecta el ReadMeCS.htm y todas las .dll que pilla.

En Program Files\Common Files\microsoft shared\ infecta el office.

También infecta el framework .net

Se ejecuta al inicio en el registro con la key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit

Cambia las cabeceras PE y se añade al final(infecta) de DesktopLayer.exe, schtasks.exe iexplorer.exe chrome.exe

Después ejecuta el archivo desde la cmd.

Utiliza el método de spread de usbs con autorun. Es decir, es malware de la época del XP xDD

Cómo cojones te infectaste con esto?

apuromafo CLS

#4
solo para acotar o agregar mas a lo que escribe @EdePC

cuando un proceso se inyecta a otro ,suele llamarse que infecta o se ejecuta a partir de un proceso abierto se transmiten mensajes, esto es conocido como payload, o un stream, o runpe etc, algunos llaman virus, bots, es segun el accionar del mismo hay muchos conceptos posibles, herramientas conocidas para analizar aquello suelen ser pesieve, o pestudio de  winitor.com, para analizar por encima algun ejecutable solamente, para comportamientos aveces hay que hacer algunas snapshot y capturas

por otro lado el tema de autoruns es algo que lleva años por la red y los recycler igual

casi  siempre es bueno tener algun firewall o antivirus de apoyo, para un correcto uso del pc
Si quieres analizar malware, puedes intentar aprender ingenieria inversa, hay foro para ello

en general, muchas cosas se pueden estudiar solo con dedicación y haciendo pequeños laboratorios de estudio es una forma práctica de ver programas y comportamientos extraños, hay sistemas sandbox como any.run que te registras y mandar la muestra para ser analizada, con analisis de trafico y más, hasta puedes interactuar..pero un paso a la vez, hay que primero entender que tienes..

https://www.osi.es/es/servicio-antibotnet/info/ramnit

Saludos Cordiales Apuromafo
pd: no estoy interesado en estudiar malware, pasaba por ahi leyendo a EdePC..y dije voy a escribir algo poco.
Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

**Aincrad**

#5
No tengo ni pinche Idea de como me infecte. solo encendi el PC y no te el proceso en segundo plano, revise algunas entradas con Olly y nada mas. tampoco tengo conocimiento avanzado en analisis de malware.

PD: Examine mi pc con mi antivirus (que siempre lo tengo OFF , por que me molesta cuando hago mis hacks.) y bueno :

"Tan solo tube alguna amenazas.... :P"




valla , la ultima vez que escanee mi pc fue hace como 2 años aprox.

Si tienen razon , se Injecta, la Descripcion hacia este tipo de virus es Ramnit.




@XSStringManolo

Ten cuidado no te joda tu software el av. Los hay muy puñeteros, por ejemplo el kaspersky para android me fundió 5 .apk porque tenías nombres como rat, malware, keylogger, etc. Algunos ni siquiera tenían la funcionalidad de que describían los títulos porque aún estaban en primeras etapas de desarrollo.

Yo para trabajar con malware en windows uso el Free Zone Alarm AV, es compatible con el windows defender, usa el motor del kaspersky, es totalmente gratuito, tiene zona para trabajar con tu malware sin problemas, etc.

Si lo pruebas no lo cambias xD.