Forensics in Spanish
RE: Archivos sospechosos en el sistema. Jan 16 2007 09:25PM
LaLo (gonza_lol hotmail com) (1 replies)
Buenas noches.

Ante todo, gracias a todos por vuestras respuestas, me han sido de mucha
ayuda ya que no conocía muchas de las aplicaciones que habéis nombrado.

Respondiendo a ANELKAOS, voy a describir un poco el entorno:

El S.O. es Windows XP Pro SP2 actualizado.
El A/V que estaba instalado en el momento de la infección era el NOD32 v.2
actualizado.

También estaban instalado el SpyBot, Adware y Ewido aunque no estaban
residentes en memoria.

Os comento lo que he ido investigando sin haber probado las herramientas que
comentáis:

La infección se produce al ejecutar un archivo con el nombre Crack.exe, con
un icono muy chulo y que realmente contiene en su interior 3 ejecutables:
1.exe, 2.exe y 3.exe.

Al ejecutarse, descomprime los 3 archivos en C:\Windows\mui\ y los ejecuta.

1.exe se copia a C:\Windows\system32\wink2.exe (Es un Keylogger)

2.exe aparentemente parece ser el "crack" original.

3.exe es igual que 2.exe pero este ejecuta y borra el archivo 1.exe

Investigando un poco más descubrí una entrada en
HK_LM\Software\Microsoft\Active Setup\Installed Components\{36DB ... 605}
Con un valor que apunta a C:\windows\system32\wink2.exe

** OJO con esta clave ya que no hay mucha información sobre su
funcionamiento y es bastante curioso...

Lo que hace al añadirse aquí un valor, es que, en el siguiente reinicio, se
ejecuta ese archivo y parece que se instala para autoejecutarse en cada
inicio, lo malo es que no aparece por ningún lado referencia alguna a este
archivo...

Lo más triste de todo esto, es que solo 3 motores antivirus detectan el
archivo Crack.exe como un virus.

Si se analizan por separado los archivos 1.exe, 2.exe y 3.exe ya lo detectan
algunos antivirus más, pero cada motor siempre falla en alguno de estos 2
archivos (aunque posiblemente no sean todos virus).

Y finalmente, me percaté de la infección porque se desactivo el Firewall de
Windows... pero vamos... el A/V tan pancho...

Bueno, ahora voy a probar con las aplicaciones que me habéis nombrado, a ver
si saco algo más en claro de esto.

Gracias a todos por vuestra ayuda!

Un saludo, ^LaLo^.

-----Mensaje original-----
De: ANELKAOS [mailto:anelkaos (at) gmail (dot) com [email concealed]]
Enviado el: martes, 16 de enero de 2007 20:31
Para: LaLo
Asunto: Re: Archivos sospechosos en el sistema.

Deberias explicar mas en detalle la configuración exácta del sistema
operativo (permisos, usuarios, navegadores, configuración exacta de
estos, antivirus u otras herramientas de detección instaladas,
versión, actualización configuración, etc)

¿Que indicios tienes de haber sido infectado?
¿Sabes ya por que medio has sido infectado? (Navegador, pendrive,
correo, intrusión, etc...
¿Que directivas de auditoria tenias habilitadas?

En principio no tienes porqué infectar mas equipos; responde a todas
las preguntas lo mas concisamente que puedas.

Un saludo.

El 16/01/07, LaLo<gonza_lol (at) hotmail (dot) com [email concealed]> escribió:
>
>
>
> Buenos días.
>
>
>
> Ayer sufrí una infección en mi sistema de lo que seguramente sea algún
tipo
> de virus? digo esto ya que pasó desapercibido para el Antivirus.. y no
logro
> encontrar información a cerca de este tipo de infección.
>
>
>
> No me queda más remedio que, utilizando otro equipo, infectarlo de nuevo
> para poder ver que es lo que hace exactamente este "virus".
>
>
>
> Es por esto que os quería consultar si sabéis de alguna aplicación que me
> permita monitorizar la ejecución de la aplicación, o bien monitorizar el
> sistema? para así saber si crea archivos, si añade claves al registro o
crea
> algún tipo de servicio.
>
>
>
>
>
> Se aceptan sugerencias!
>
>
>
> Por cierto, el S.O. que fue infectado fue Windows XP.
>
>
>
>
>
> Gracias de antemano.
>
>
>
>
>
>
>
> Un saludo, ^LaLo^.
>
>

[ reply ]
Re: Archivos sospechosos en el sistema. Jan 17 2007 07:23AM
etropos (etropos gmail com)


 

Privacy Statement
Copyright 2010, SecurityFocus