Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO"

  • 1 Respuestas
  • 2631 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado M1CR0B110

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« en: Agosto 14, 2013, 01:44:28 pm »
Hola  Foro Qué  tal?
Bueno vamos al grano  resulta  qué  ando en facebook  cuando  depronto , Muchos  contactos  Me  envian el  siguiente link http://proxyo.net/images/G9SeMvPgdw8JUs5hMeFpy.jpg, Como  soy  curioso  & se   unas  novatadas  me di a la  tarea de analizar el  dichoso  archivo , Así  qué   realicé lo  siguiente.
Primero baje el archivo ,  Internet explorer, Para saber donde se guardaba y todo,
Abrí mi maquina  virtual nueva &
Ejecute  #MSCONFIG
Para  mirar que  había  al estar limpio & qué después de ejecutarlo


Uploaded with ImageShack.us

Bueno ,  Tambien mire en qué   lenguaje de programación estaba creado el dichoso archivo. "Visual C++"


Lo siguiente  fue  observar qué   cambios realizaba el  archivo al ser ejecutado en guindos



Uploaded with ImageShack.us


Listo  hay nos muestra que   hace el archivo, lalalalala , Bueno pues  seguí.
Lo qué se me hace  raro es que  el archivo es  un .EXE &  al terminarlo de ejecutar Nos arroja  una  imagen  :g:   & pues   hasta donde  se #NOVATO  , no he leido  sobre Que se pueda  bindear un JPG con un  .exe , "Pienso que puede  ser un programa  que  arroje   una  imagen  bindeado con un server  :smile:  ,  Bueno pues segui mirando & dije  voy  a  intentar desempaquetarlo  un poco  más



Uploaded with ImageShack.us

Aquí  lo que  hice  fue  Extraer el contenido del archivo  para  mirar como estaba bindeado como diablos se creo,
Lo qué me arrojo algo  raro  :g:  Si  había un EXE & un JPG , Como  diablos se  creo?  Qué paso aquí? Jajajaaa
Miren


Uploaded with ImageShack.us
Alguien sabe como  bindear una  imagen a un EXE? & Qué al final  se pueda ver la imagen?,

Bueno pues seguí molestando el archivo,

""""""""""""""""""
Archivos :

C:\DOCUME~1\User\LOCALS~1\Temp\Photo_470-www.twitter.com.exe
C:\WINDOWS\system32\msctfime.ime
C:\WINDOWS\win.ini
C:\WINDOWS\Registration\R000000000007.clb
C:\DOCUME~1\User\LOCALS~1\Temp\RarSFX0
__tmp_rar_sfx_access_check_445140
photo.JPG
z.exe
C:\WINDOWS\system32\shimgvw.dll
C:\WINDOWS\system32\shimgvw.dll.123.Manifest
C:\WINDOWS\system32\shimgvw.dll.123.Config
IDE#CdRomVBOX_CD-ROM_____________________________1.0_____#42562d3231303037333036372020202020202020#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
MountPointManager
STORAGE#Volume#1&30a96598&0&Signature32B832B7Offset7E00Length27F4DB200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
C:\DOCUME~1
C:\Documents and Settings\User
C:\Documents and Settings\User\LOCALS~1
C:\Documents and Settings\User\Local Settings\Temp
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\photo.jpg
C:\WINDOWS\Resources\themes\Luna\Shell\NormalColor\ShellStyle.dll
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\*.*
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\photo.JPG



""""""""""""""""""""""""""""""""""""""""""
Claves de registro


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF
HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\COM3
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Classes\CLSID
CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\TreatAs
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServer32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServerX86
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\LocalServer32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocHandler32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocHandlerX86
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
HKEY_CLASSES_ROOT\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\TreatAs
CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\TreatAs
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServerX86
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\LocalServer32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocHandler32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocHandlerX86
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\TreatAs
CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\TreatAs
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServerX86
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\LocalServer32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocHandler32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocHandlerX86
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\TreatAs
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InProcServer32
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\FontSubstitutes
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Applications\rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7950-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7952-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{475c7952-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{475c7950-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKEY_CLASSES_ROOT\Directory
HKEY_CLASSES_ROOT\Directory\CurVer
HKEY_CLASSES_ROOT\Directory\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CLASSES_ROOT\Directory\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\Directory\\Clsid
HKEY_CLASSES_ROOT\Folder
HKEY_CLASSES_ROOT\Folder\Clsid
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.JPG
HKEY_CLASSES_ROOT\.JPG
HKEY_CLASSES_ROOT\jpegfile
HKEY_CLASSES_ROOT\jpegfile\CurVer
HKEY_CLASSES_ROOT\jpegfile\
HKEY_CLASSES_ROOT\jpegfile\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\image
HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\IconHandler
HKEY_CLASSES_ROOT\jpegfile\\Clsid
HKEY_CLASSES_ROOT\CLSID\{25336920-03F9-11cf-8FD0-00AA00686F13}\Implemented Categories\{00021490-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\jpegfile\\ShellEx\DataHandler
HKEY_CLASSES_ROOT\.JPG\ShellEx\DataHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG\ShellEx\DataHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\DataHandler
HKEY_CLASSES_ROOT\*
HKEY_CLASSES_ROOT\*\ShellEx\DataHandler
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellImageView
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellImageView
CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\TreatAs
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocServer32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocServerX86
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\LocalServer32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocHandler32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocHandlerX86
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
HKEY_CLASSES_ROOT\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\TreatAs
CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\TreatAs
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServerX86
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\LocalServer32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocHandler32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocHandlerX86
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
HKEY_CLASSES_ROOT\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\TreatAs
CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\TreatAs
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServer32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServerX86
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\LocalServer32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocHandler32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocHandlerX86
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
HKEY_CLASSES_ROOT\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\TreatAs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe
HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\exefile\CurVer
HKEY_CLASSES_ROOT\exefile\
HKEY_CLASSES_ROOT\exefile\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.exe
HKEY_CLASSES_ROOT\SystemFileAssociations\application
HKEY_CLASSES_ROOT\exefile\\Clsid
HKEY_CLASSES_ROOT\*\Clsid
HKEY_CURRENT_USER\Keyboard Layout\Toggle
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\LangBarAddIn\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\LangBarAddIn\



"""""""""""""""""""""""
Dominios

DOMAIN   IP
http://www.xyz25.com   92.243.18.120
upload.tehran98.com   144.76.94.237
zxc.ao2r9k.com   95.142.171.14
facebook.com   173.252.110.27
http://www.facebook.com   69.171.247.29





Bueno pues quisiera seguir  analizándolo pero no se más  hasta el momento , Si alguien me quiere dar una manito se lo agradesco
Gracias por leerme.

Si esta  en la categoría equivocada  algún admin qué lo mueva.
« Última modificación: Diciembre 08, 2014, 03:11:23 pm por Expermicid »

Desconectado Psymera

  • *
  • Underc0der
  • Mensajes: 75
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Agosto 14, 2013, 09:48:38 pm »
pon un link para descargar la muestra el link original murio
El conocimiento es libre...
La información no lo es xD

 

¿Te gustó el post? COMPARTILO!



Tutorial Troyano njRAT 0.8 + Hacerlo indetectable

Iniciado por comandosoft

Respuestas: 0
Vistas: 2521
Último mensaje Marzo 16, 2017, 04:38:38 pm
por comandosoft
Analizando el volcado con Volatility

Iniciado por hdbreaker

Respuestas: 1
Vistas: 3806
Último mensaje Enero 07, 2015, 11:10:57 am
por Turka
Detectando conexiones remotas con el "Administrador de tareas"

Iniciado por Stiuvert

Respuestas: 13
Vistas: 5901
Último mensaje Marzo 20, 2013, 11:35:52 pm
por 4rch4n631
Malware se propaga mediante "etiquetas" en Facebook

Iniciado por CodePunisher

Respuestas: 8
Vistas: 4838
Último mensaje Julio 02, 2013, 01:31:35 pm
por elshotta