bueno, se ve que pasa el tiempo, y los enfermos llenan el dr abuse de virus, o simplemente, es un virus
es la segunda vez que bajo esta ***** de programa
www.mediafire.com/?owxc0wco21m521x
y es la segunda vez que viene con un troyano distinto
desde que lo instale se me metio un troyano, facil de borrar, como cualquier otro. (&homedrive%\system32\install\DSick.exe o algo asi,)
bueno esta bosta crea 2 explorer.exe (solo de proceso, no de archivo (si miran el registro lo borran rapido, pero no tiene que estar NINGUN explorer.exe en ejecucion, osea , hay que borrarlos desde el modo seguro. tmb el de install, es facil)
el punto es:
esta ***** de programa es un virus o los enfermos le meten virus?
la ruta de compilacion del exe (troyano) es:
c:\document....\administrador\source FUD\jasjanaisvsaac.vbp o algo asi
aca les dejo el server para que lo analicen si quieren
(yo no encuentro la parte que conecta, osea, a la ip que conecta.)
pero creo que manda a un ftp, porq el imbecil no borro el comentario 'ejemplo de conectar al ftp con apis' o algo asi dice,
http://www.sendspace.com/file/31f7bg
ojo por ojo...................
p.d: tambien crea en \system32\3.exe (que es el que subi)
-------------------------------------------------
http://www.virustotal.com/file-scan/report.html?id=52c407037f5849a797eb54a985e40679f2f4035807e8c29db0da8a39945550d4-1304284479
----------------------------------------------------
Si quieres el Dr Abuse de verdad, bajalo de la web oficial :P
http://www.psicoactiva.com/abuse/drabuse.htm
Estoy preparando una VM para echarle un ojo a esto que has subido :D
Saludos
ok nov, porfa chekea que:
en modo normal:
2 explorer.exe
entradas del registro
(hklm ---- run)
(hklm ---- policies\explorer)
busca la carpeta install (install, no installer) en windows y en system32
cuando tenga mas tiempo voy a analizar el exe, debe haber info util :rolleyes: :rolleyes: :rolleyes:
Que loco, a subido el exe sin comprimir ni contraseña, a pelo :xD, para la proxima ya sabes.
A ver, cositas que hace:
- Crea los siguientes archivos:
CitarC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Administrator2.txt
C:\WINDOWS\system32\install\DIsk.exe
- Crea el siguiente directorio:
CitarC:\WINDOWS\system32\install\
- Se ejecuta bajo el siguiente proceso:
CitarC:\WINDOWS\explorer.exe --> explorer.exe
- Se copia en las siguientes claves para iniciarse con windows:
Citar
HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Con el valor C:\WINDOWS\system32\install\DIsk.exe
Dentro de un rato miraré su actividad de red si me da tiempo, por cierto está programado en visual basic ya que utiliza las librerias dependientes