AntiMalware Doctor -> Vacuna y análisis [RETO]

DarkItachi · 24 Marzo 2010, 20:21 PM

Buenas, ayer me infecté con este virus y no se cómo, me destrozó el arranque de xp así que voy a proponeros un reto, crear un análisis y vacuna de este virus, que ha mutado, la información de internet no es del todo cierta ya que han cambiado nombre de procesos y tal, este reto va especialmente dedicado a Novlucker, viejo amigo que creó por una solicitud mía la vacuna del sasan.a, así que Novlucker y demás personas, tenéis un nuevo reto. Analizarlo y crear una vacuna, da igual el lenguaje. Es una forma de fomentar vuestros conocimientos. Mandadme mp y os mandaré el virus travieso comprimido en winrar con contraseña, anda que no costó reternelo xD. Buena suerte a todos

.

Personas que aceptaron el reto

Novlucker - ANÁLISIS VACUNA
skapunky - ANÁLISIS
Hacker_Zero - FALTA VACUNA Y ANÁLISIS
seba123neo - ANÁLISIS
secMAM - FALTA VACUNA Y ANÁLISIS

skapunky · 24 Marzo 2010, 20:39 PM

Anda..pasame por privado el exe

. Haber si se deja destripar bien.

DarkItachi · 24 Marzo 2010, 20:43 PM

Cita de: skapunky en 24 Marzo 2010, 20:39 PM
Anda..pasame por privado el exe . Haber si se deja destripar bien.

Ya te lo pasé, mucha suerte

Novlucker · 24 Marzo 2010, 20:45 PM

Nooooo!!
Llego a casa dentro de 5 hrs más o menos, y destripar este Rogue va a ser MUY fácil, no se lo pases a skapunky

Saludos

[Zero] · 24 Marzo 2010, 20:52 PM

Mándamelo

.

Saludos

DarkItachi · 24 Marzo 2010, 20:57 PM

Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestiasç

EDITO:

Skaupunky a mi se me descomprime bien :s Y lo he probado en otro ordenador :S

seba123neo · 24 Marzo 2010, 21:00 PM

Cita de: DarkItachi en 24 Marzo 2010, 20:57 PM
Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso

DarkItachi · 24 Marzo 2010, 21:06 PM

Cita de: seba123neo en 24 Marzo 2010, 21:00 PM
Cita de: DarkItachi en 24 Marzo 2010, 20:57 PM
Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso

Te mando el virus? Y así de paso me dices si se te descomprime bien?

seba123neo · 24 Marzo 2010, 21:11 PM

Cita de: DarkItachi en 24 Marzo 2010, 21:06 PM
Cita de: seba123neo en 24 Marzo 2010, 21:00 PM
Cita de: DarkItachi en 24 Marzo 2010, 20:57 PM
Disculpad hay un problema con el virus, no se comprimió bien, a ver que hago :s
En cuanto esté de nuevo os lo mando, Disculpad las molestias

trata de no infectarte de nuevo de paso

Te mando el virus? Y así de paso me dices si se te descomprime bien?

dale (no es un chat ya se)

skapunky · 24 Marzo 2010, 21:15 PM

Informe Skapunky

Aquí iré poniendo todo lo que vaya encontrando:

Ejecutable:

El olly avisa que el archivo está comprimido, cifrado...vaya que con olly sale jodido. (Sale gran cantidad de memória vacia por la compresion del ejecutable).

1. Se conecta a la IP 91.212.226.53 por el puerto 80. (TCPview)

2. Crea el archivo enemies.names.txt y hookdll.dll (Al ejecutarlo)

3. Crea varias claves en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Antimalware Doctor Inc\Antimalware Doctor\ con varios valores.

También en HKUS\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\ Con algúnas subclaves.

(Las claves se pueden comprovar mediante regshot o similares en máquina virtual)

Hookdll.dll
- Sobre la libreria Hookdll.dll el olly tiene problemas al leerla, el entry point está modificado o quizá es porque es dinámica, ya pensaré algo.

- La librería me temo que tiene la función de hacer que el ejecutable tenga característica de rootkit y se inyecte en explorer.exe

Continuare...