Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - M1CR0B110

Páginas1
#1
Tutoriales y Manuales de Malwares / Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO"
Agosto 14, 2013, 01:44:28 PM
Hola  Foro Qué  tal?
Bueno vamos al grano  resulta  qué  ando en facebook  cuando  depronto , Muchos  contactos  Me  envian el  siguiente link No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, Como  soy  curioso  & se   unas  novatadas  me di a la  tarea de analizar el  dichoso  archivo , Así  qué   realicé lo  siguiente.
Primero baje el archivo ,  Internet explorer, Para saber donde se guardaba y todo,
Abrí mi maquina  virtual nueva &
Ejecute  #MSCONFIG
Para  mirar que  había  al estar limpio & qué después de ejecutarlo
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Uploaded with No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bueno ,  Tambien mire en qué   lenguaje de programación estaba creado el dichoso archivo. "Visual C++"


Lo siguiente  fue  observar qué   cambios realizaba el  archivo al ser ejecutado en guindos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Uploaded with No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Listo  hay nos muestra que   hace el archivo, lalalalala , Bueno pues  seguí.
Lo qué se me hace  raro es que  el archivo es  un .EXE &  al terminarlo de ejecutar Nos arroja  una  imagen  :g:   & pues   hasta donde  se #NOVATO  , no he leido  sobre Que se pueda  bindear un JPG con un  .exe , "Pienso que puede  ser un programa  que  arroje   una  imagen  bindeado con un server  :smile:  ,  Bueno pues segui mirando & dije  voy  a  intentar desempaquetarlo  un poco  más

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Uploaded with No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Aquí  lo que  hice  fue  Extraer el contenido del archivo  para  mirar como estaba bindeado como diablos se creo,
Lo qué me arrojo algo  raro  :g:  Si  había un EXE & un JPG , Como  diablos se  creo?  Qué paso aquí? Jajajaaa
Miren
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Uploaded with No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Alguien sabe como  bindear una  imagen a un EXE? & Qué al final  se pueda ver la imagen?,

Bueno pues seguí molestando el archivo,

""""""""""""""""""
Archivos :

C:\DOCUME~1\User\LOCALS~1\Temp\Photo_470-www.twitter.com.exe
C:\WINDOWS\system32\msctfime.ime
C:\WINDOWS\win.ini
C:\WINDOWS\Registration\R000000000007.clb
C:\DOCUME~1\User\LOCALS~1\Temp\RarSFX0
__tmp_rar_sfx_access_check_445140
photo.JPG
z.exe
C:\WINDOWS\system32\shimgvw.dll
C:\WINDOWS\system32\shimgvw.dll.123.Manifest
C:\WINDOWS\system32\shimgvw.dll.123.Config
IDE#CdRomVBOX_CD-ROM_____________________________1.0_____#42562d3231303037333036372020202020202020#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
MountPointManager
STORAGE#Volume#1&30a96598&0&Signature32B832B7Offset7E00Length27F4DB200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
C:\DOCUME~1
C:\Documents and Settings\User
C:\Documents and Settings\User\LOCALS~1
C:\Documents and Settings\User\Local Settings\Temp
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\photo.jpg
C:\WINDOWS\Resources\themes\Luna\Shell\NormalColor\ShellStyle.dll
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\*.*
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\photo.JPG



""""""""""""""""""""""""""""""""""""""""""
Claves de registro


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF
HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\COM3
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Classes\CLSID
CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\TreatAs
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServer32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServerX86
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\LocalServer32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocHandler32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocHandlerX86
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
HKEY_CLASSES_ROOT\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\TreatAs
CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\TreatAs
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServerX86
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\LocalServer32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocHandler32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocHandlerX86
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\TreatAs
CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\TreatAs
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServerX86
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\LocalServer32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocHandler32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocHandlerX86
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\TreatAs
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InProcServer32
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\FontSubstitutes
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Applications\rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7950-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7952-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{475c7952-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{475c7950-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKEY_CLASSES_ROOT\Directory
HKEY_CLASSES_ROOT\Directory\CurVer
HKEY_CLASSES_ROOT\Directory\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CLASSES_ROOT\Directory\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\Directory\\Clsid
HKEY_CLASSES_ROOT\Folder
HKEY_CLASSES_ROOT\Folder\Clsid
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.JPG
HKEY_CLASSES_ROOT\.JPG
HKEY_CLASSES_ROOT\jpegfile
HKEY_CLASSES_ROOT\jpegfile\CurVer
HKEY_CLASSES_ROOT\jpegfile\
HKEY_CLASSES_ROOT\jpegfile\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\image
HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\IconHandler
HKEY_CLASSES_ROOT\jpegfile\\Clsid
HKEY_CLASSES_ROOT\CLSID\{25336920-03F9-11cf-8FD0-00AA00686F13}\Implemented Categories\{00021490-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\jpegfile\\ShellEx\DataHandler
HKEY_CLASSES_ROOT\.JPG\ShellEx\DataHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG\ShellEx\DataHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\DataHandler
HKEY_CLASSES_ROOT\*
HKEY_CLASSES_ROOT\*\ShellEx\DataHandler
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellImageView
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellImageView
CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\TreatAs
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocServer32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocServerX86
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\LocalServer32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocHandler32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocHandlerX86
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
HKEY_CLASSES_ROOT\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\TreatAs
CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\TreatAs
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServerX86
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\LocalServer32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocHandler32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocHandlerX86
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
HKEY_CLASSES_ROOT\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\TreatAs
CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\TreatAs
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServer32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServerX86
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\LocalServer32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocHandler32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocHandlerX86
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
HKEY_CLASSES_ROOT\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\TreatAs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe
HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\exefile\CurVer
HKEY_CLASSES_ROOT\exefile\
HKEY_CLASSES_ROOT\exefile\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.exe
HKEY_CLASSES_ROOT\SystemFileAssociations\application
HKEY_CLASSES_ROOT\exefile\\Clsid
HKEY_CLASSES_ROOT\*\Clsid
HKEY_CURRENT_USER\Keyboard Layout\Toggle
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\LangBarAddIn\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\LangBarAddIn\



"""""""""""""""""""""""
Dominios

DOMAIN   IP
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta   92.243.18.120
upload.tehran98.com   144.76.94.237
zxc.ao2r9k.com   95.142.171.14
facebook.com   173.252.110.27
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta   69.171.247.29





Bueno pues quisiera seguir  analizándolo pero no se más  hasta el momento , Si alguien me quiere dar una manito se lo agradesco
Gracias por leerme.

Si esta  en la categoría equivocada  algún admin qué lo mueva.
#2
Tutoriales y Manuales de Malwares / Re:Malware se propaga mediante "etiquetas" en Facebook
Marzo 26, 2013, 04:05:35 PM
Buena  info
Páginas1