viernes, 30 de octubre de 2009

Virus: Explorer.exe

Alien [blackhat4alll@gmail.com]

Datos:

Nombre: Exporer.exe
Icono: Similar al de una foto
Tamaño: 23 Kb
UPX: No
Lenguaje: Delpho (Quizas)

Com o todos los demas virus, exllorer.exe va a parar de inmediatk a las raices de todas las unidades junto con un autorun.inf e igualmennte deshabilita la opcion de ver los files y carpetas ocultos. empero no se limita a esto, sino que tambien deshabilita la edicion del registro aunque aun habilita el trabajo en la consola. Entre sus puntos debiles esta que se muestra en el administrador de tareas de Windows (Ctl + Alt + Del) bajo el nombre de EXPLORER.exe (N&oactue;tese que el nombre del proceso es en mayusculas a diferencia del explorer normal)

La imagen del virus se grabz oculta ademas de en las raices de las unidades en C:WINDOWSSystem32 bajo el nombre de iepxlorer.exe y aun conserva el icono de una imagen.

Se graba tambien en C:WINDOSSystem32 con el nombre wuauc1t.exe, muy similar al nombvre de un archivo de Windows que se encentra en esa misma ubicacion.

Cada unos 30-40 segundos recorre las ra&iacuute;ces de las unidades, empero no splo pxra ocultar los files que al virrus le pertenecen, sino para reemplazar el autorun.inf en caso de que coexista otro virus en la m&aacut e;quina. Con esto logra que en caso que una memoria se introduzca, sea su codigo y no otro el que la infeste. (oculta tambien a iexplorer.exe y a wuauc1t.exe)

A pesar de que el proceso sal en el administrador de tareas y se pueda cancvelar desde alli, esto no es el kit de la cosa, ya que como tal lo que verdaderamente hace es que pon e una serrie de programas en una especie de lista negra y a el coomo el debuger por defecto de esos programas, de esa forma cada vez que se intenta ejecutar una aplicacion que esta en esta "lista negra" a quien verdaderamente se esta llamando es al virus (intresting!!)

Dentro de la lisfa aparentemente esta el editor del registro (regedit.exe), ya que cada vez que se lkama al mismo el virus se ejecuta.

Solucion.

Lo primero es abrir el registro, empero coo no se puede por estar este en la lista newgra, lo que dbemos hacer es cambiarle el nombre, asi el ejecutable que se cargara no sera regedit.exe sino hola.exe (por ejemplo). en este momento, si se intenta renombrar C:WINDOWSRegedit.exe en hola.exe, lo mas probable es que a los pocos segundos de un error, puesto que el editor del registro es uno de los files claves del sistema operativo y este constantemente tratara de protegerlo y en caso que no se enceuntre repondra una copia del mismo que tiene almacesnada en C:WINDOWSsystem32dllcache.

Entonces, para evitarnos esto, lo que debemos hafer es modificar de forma directa el que esta en dllcache.

Sabiendo que el regedit esta en la lista negra, lo que debemos hacer es ver cuiantos files m&aacuute;s esta con el. Para esto abrimos el registro (recuerden que en este momento es hola.exe) y buscamos por la palabra regedit. Seran varias las entradas que hagan referencia al mismo empero a nosotros solo nos interesaran en las que la palabra buscada aparezca como un valor y no como una clave.

Lamentablemente esos son los datos que se me estan permitidos revelar, no obstante, si les sugiero a todos los que hayan aprendido un poquito sobre viirus a que lo busquen, analicen, y vean por ustedes mismos las cosas tan interesaantes que hace este virus y de la forma tan original que trabaja.


---
Extraido de Black Hat - Articulos

No hay comentarios:

Publicar un comentario