Pato aventura : Analisis de un virus en frio…

Hola:


les voy a contar mi ultima pato aventura..


Ddaz.mode=Daniel


hoy en la mañana me llego un email, de esos típicos que te dicen que alguien te envío una postal… 


a diferencia de antes cuando enviaban este tipo de emails  de alguna cuenta inventada, que podía ser fácilmente marcada como “no deseado”, están enviando estos emails de la cuenta “info@hi5.com” que esta tomada como “cuenta normal” y a casi nadie le llega a la carpeta de “correo no deseado” – lógicamente fue enviado desde un lugar que no es el verdadero…  en teoría el email viene desde el dominio metropostales.com, y el que envió el email no es el mismo dominio


email


lo primero que suelo hacer en este tipo de casos es ver el encabezado del email, en hotmail – o live mail – pueden darle con el botón derecho al email y seleccionar “ver código fuente”, les dejo  la imagen del encabezado, no borre las direcciones ni dominios originales – para que vean quien  fue el que lo envió… -


header


Al ver este tipo de datos  en la cabecera del email es posible estar seguros a un 99.9%  de que es un email falso,  al dar clic al vinculo – no pude resistirme – me di cuenta que descargaba un archivo que tenia un icono de un circulo y decía claro –si, el de una empresa de telefonía que funciona en Perú –, en este momento ya estaba totalmente seguro que era un virus, solo que aun no estaba muy seguro de que sea de Perú. 


icono


en esta ocasión hice lo que siempre hago – soy partner de ESET,si  los del nod32 –,   y les envío de vez en cuando alguna muestra de virus que encuentro – bueno tbm me gusta coleccionarlos,  quien sabe, quizá algún día los ocupe –, lógicamente al ser domingo es lógico que no respondan rápidamente, así que decidí esta vez analizarlo un poquito,



luego me puse a ver las propiedades del archivo  y pude ver esto :


propiedadesarchivo


Al ver estos datos pude ver que el que creo el virus no es tan metódico, ya que dejo demasiadas cosas sueltas como el nombre del proyecto “Proyecto1” ,  y el archivo  original se llamaba formulario.. e visto virus mas elaborados y no se saltan este tipo de detalles.


el segundo paso era saber con que fue compilado – en que lenguaje se hizo –, para esto use la herramienta “File Inspector XL”, el cual pueden descargar desde esta web http://www.exetools.com/file-analyzers.htm , dándome como resultado :


headerfile ya con esto pude saber que lo hicieron con Visual Basic  –  donde están los que dicen que el VB no sirve ? –


ya sabiendo esto, solo tenia que buscar el descompilador – o desensamblador –  adecuado, ya que  no todos los desensambladores funcionan con todos los ejecutables, en este caso use 2, uno es el VB decompiler lite  y el otro fue el W32DASM – con un parche para referencias VB –, y las imágenes que salieron fueron:


vbdecompiler


de esta imagen algo que destaca es “MicrosoftUpdateManager”  suena a la ventana de Windows update, pero no dijo mucho, así que me fui con el W32DASM.


w32dasm al abrir el archivo con el w32dasm,  y luego ir a la sección de “String references” salieron estos datos – cadenas de texto usadas en el programa  y que  pudo analizar el de compilador, en frio, vienen datos como :


  • “load=C:\windows\system32\updmngr.exe”  que debe ser el nombre de como se instalara el Virus, y esto se podría ver luego en el msconfig.
  • “http://minux2010.no-ip.org” este es el sitio donde el virus envía /recibe información.
  • “c:\windows\system32\drivers\etc\hosts” este es un archivo de sistema que guarda unas urls en cache de la pc… el virus – como muchos – infectara la pc,  lo mas común es para que cuando uno abra una ventana del navegador, automáticamente se conecte allí.
  • En la imagen se ven algunas secciones como <PRE> y </PRE>  así que de aquí se puede suponer que mostrara una ventana con algo de código HTML.

 


todo esto aun sin analizar en código ensamblador mostrado – que tomaría algo mas de tiempo – y bueno, al menos por ahora es suficiente, ya que es un analisis simple, sin tener que ejecutar la aplicación.


intente correr el programa en una pc virtual con Windows 2003 y en mi pc host con Windows 7, pero como no tenia las librerías de VB6 – msvbvm60.dll – , salió un error y el virus no funciono uhh que pena – si alguien quiere el virus, se lo puedo enviar por email – si es que me lo pide… lógicamente-


Quería enviarles un screenshot de la ventana del virus… pero al menos por ahora aun no me animo a descargar la dll que hace falta, para poder abrirlo….


lógicamente no mostré mucho sobre el desensamblado – cosas que mostrare en un futuro  – , el w32dasm pueden encontrarlo en “Crackerskit 2” – googleando lo encuentran – o  tbm en esta pagina http://www.exetools.com/disassemblers.htm .


Se que esto no tiene nada que ver con .net… pero recuerden que “No solo de .Net vivirá el hombre, sino de todo código que sea escrito y sea funcional.”


con esto respondo el pedido de Ebersys


Ddaz.mode=Dacito


Salu2 


Ddaz


:) Publicacion cruzada desde Geeks.ms :) http://geeks.ms/blogs/ddaz

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>