AntiMalware Doctor -> Vacuna y análisis [RETO]

Iniciado por DarkItachi, 24 Marzo 2010, 20:21 PM

0 Miembros y 1 Visitante están viendo este tema.

aricosese

Hola, a mi también se me ha metido este virus en mi ordenador. He hecho todo lo que dices pero aunque he borrado los archivos y las claves de registro el maldito virus sigue en mi ordenador. Por favor, puedes ayudarme??

Cita de: Novlucker en 25 Marzo 2010, 05:22 AM
Voy :D

El ejecutable dbf70700.exe esta programado en Delphi y comprimido con ASProtect
Citar<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="DelphiApplication"
version="1.0.0.0"
processorArchitecture="*"/>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="*"/>
</dependentAssembly>
</dependency>
</assembly>

Al ejecutarse crea las siguientes llaves de registro:
Clave
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dbf70700.exe
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl1
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl2
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarlA
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\install_time
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\database_version
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\virus_signatures
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\affid
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayIcon
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayName
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\UninstallString
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\InstallLocation
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoModify
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoRepair
Valor
C:\Worm\dbf70700.exe
KRoAGVdOQx4PARElG00dAQ==
KRoAGVdOQwQVExE3BAYNQRsl
KRoAGVdOQx4PARElG00dAQ==
40261,91524
258
60326
70700
C:\Worm\dbf70700.exe,0
Antimalware Doctor
C:\Worm\dbf70700.exe /uninstall
C:\Worm\
1
1

La primera de ellas para garantizar su inicio con cada reinicio del sistema, las de en medio con datos relativos a la versión del "soft", y las últimas contienen los valores relativos a los datos que aparecen si vamos a Agregar y quitar programas en el panel de control (aunque es falso, esto no funciona)

Además de las llaves anteriores, también son creados dos archivos, hookdll.dll y enemies-names.txt.
El primero de ellos aún no me queda claro que función cumple, ya que lo que tiene el proceso cargado en memoria son las siguientes librerías

Citar------------------------------------------------------------------------------
dbf70700.exe pid: 1936
Command line: "C:\Worm\dbf70700.exe"

Base Size Version Path
0x00400000 0x1ce000 0.01.0000.0000 C:\Worm\dbf70700.exe
0x7c910000 0xb8000 5.01.2600.5755 C:\WINDOWS\system32\ntdll.dll
0x7c800000 0x103000 5.01.2600.5781 C:\WINDOWS\system32\kernel32.dll
0x770f0000 0x8b000 5.01.2600.5512 C:\WINDOWS\system32\oleaut32.dll
0x77da0000 0xac000 5.01.2600.5755 C:\WINDOWS\system32\ADVAPI32.dll
0x77e50000 0x92000 5.01.2600.5795 C:\WINDOWS\system32\RPCRT4.dll
0x77fc0000 0x11000 5.01.2600.5834 C:\WINDOWS\system32\Secur32.dll
0x77ef0000 0x49000 5.01.2600.5698 C:\WINDOWS\system32\GDI32.dll
0x7e390000 0x91000 5.01.2600.5512 C:\WINDOWS\system32\USER32.dll
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x774b0000 0x13d000 5.01.2600.5512 C:\WINDOWS\system32\ole32.dll
0x76330000 0x5000 5.01.2600.5512 C:\WINDOWS\system32\msimg32.dll
0x77bd0000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\version.dll
0x7e6a0000 0x821000 6.00.2900.5622 C:\WINDOWS\system32\shell32.dll
0x77f40000 0x76000 6.00.2900.5912 C:\WINDOWS\system32\SHLWAPI.dll
0x773a0000 0x103000 6.00.2900.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x72f80000 0x26000 5.01.2600.5512 C:\WINDOWS\system32\winspool.drv
0x76360000 0x4a000 6.00.2900.5512 C:\WINDOWS\system32\comdlg32.dll
0x71a50000 0xa000 5.01.2600.5512 C:\WINDOWS\system32\wsock32.dll
0x71a30000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\WS2_32.dll
0x71a20000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\WS2HELP.dll
0x76340000 0x1d000 5.01.2600.5512 C:\WINDOWS\system32\IMM32.DLL
0x5b150000 0x38000 6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll
0x746b0000 0x4c000 5.01.2600.5512 C:\WINDOWS\system32\MSCTF.dll
0x75160000 0x2e000 5.01.2600.5512 C:\WINDOWS\system32\msctfime.ime
0x590d0000 0x7000 5.01.2600.5512 C:\WINDOWS\system32\Wship6.dll
0x719d0000 0x40000 5.01.2600.5625 C:\WINDOWS\System32\mswsock.dll
0x76ee0000 0x27000 5.01.2600.5625 C:\WINDOWS\system32\DNSAPI.dll
0x76f70000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\winrnr.dll
0x76f20000 0x2d000 5.01.2600.5512 C:\WINDOWS\system32\WLDAP32.dll
0x66740000 0x59000 5.01.2600.5512 C:\WINDOWS\system32\hnetcfg.dll
0x71a10000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\wshtcpip.dll
0x76f80000 0x6000 5.01.2600.5512 C:\WINDOWS\system32\rasadhlp.dll
0x5f1f0000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\olepro32.dll
0x76f90000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77010000 0xd0000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x40290000 0xa93000 8.00.6001.18876 C:\WINDOWS\system32\ieframe.dll
0x400a0000 0x1e8000 8.00.6001.18876 C:\WINDOWS\system32\iertutil.dll
0x76bb0000 0xb000 5.01.2600.5512 C:\WINDOWS\system32\PSAPI.dll

... pero en un volcado de memoria se puede ver como el hookdll.dll esta en la vuelta, sin tener en cuenta que sus funciones son StartHook y StopHook (nombres más que descriptivos)

Por el contenido de la dll se puede llegar a esto ..
CitarFastMM Borland Edition
2004, 2005 Pierre le Riche / Professional Software Development
:http://sourceforge.net/projects/fastmm/

Por otra parte, el archivo de texto enemies-names.txt es el que contiene los nombres y descripciones de las supuestas amenazas que rondan nuestros ordenadores, así que bastan un par de modificaciones y ....


Por otra parte, el "bicho" también se conecta a la IP 92.212.226.53 (instat.in) y realiza un GET a la página principal, donde el único resultado es ...
Citar<html></html>
Hay que agregar además, que durante todo el proceso se nos muestran molestos mensajes (como en todo Rogue) invitandonos a comprar la versión full del "producto", con lo cual llegamos a una web donde poder hacerlo, y claro esta ... la transacción obviamente es totalmente segura :¬¬ , además de estar en varios idiomas por si no entendemos


Y ya! Para eliminar el "bicho" no hace falta más que;

  • Matar el proceso, en este caso el dbf70700.exe
  • Eliminar los archivos dbf70700.exe, hookdll.dll y enemies-names.txt
  • Eliminar la clave de registro que se encuentra bajo HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ y que apunta al mismo ejecutable
  • Si se pretende dejar todo en "orden", eliminar además las otras claves mencionadas antes.

Nota: el archivo principal posiblemente cuente con otro nombre de similares características, por lo que es facilmente identificable en el adminstrador de tareas, además de que consume más de un 90% de nuestro CPU, así que no es necesario ningún tipo de vacuna :P
Nota 2: durante el proceso de eliminación el "bicho" no opone ningún tipo de resistencia, así que simplemente se mata procesos y elimina archivos y llaves :D

Saludos ;D


DarkItachi

Coge el code que puso Novlucker: https://foro.elhacker.net/analisis_y_diseno_de_malware/antimalware_doctor_vacuna_y_analisis_reto-t288617.0.html;msg1428697#msg1428697

Pégalo en un bloc de notas y guárdalo como vacunas.vbs, ejecútalo y reinicia, si sigues viendo que el virus está quizás es una mutación de este, en tal caso aisla el ejecutable y súbelo a megaupload/rapidshare/etc... para que lo podamos examinar.
Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.