lunes, 17 de noviembre de 2008

File Pixmar.exe

Alien [blackhat4all@gmail.com]

Hace poco tiempo me enviaron un archivo bajo sospechas de virus, confieso que lo dejé un poco de lado pues otras tareas me apremiaban, pero luego, con un poco más de calma decidí “echarle el ojo”.

Datos de la aplicación:

Nombre: Pixmar.exe
Tamaño: 384 Kb
Comprimido con UPX: No
Lenguaje: Delphi
Icono: Celular con un mapamundi delante

Este archivo por supuesto es un ejecutable para Windows, y según sus propios datos fue creado por la organización Disney Juego, de la que no aparecen muchas cosas en la red, así que da ya motivos más que suficientes para sospechar, esto sin contar que algunos link lo refieren como un virus.

Quizás lo más curioso que tiene es que su comportamiento, a pesar de que es muy similar al de un virus, difiere con estos es mucho.
No oculta archivos
Se ve en el administrador de tareas.
No cancela cmd
No cancela regedit
No cancela el Administrador de Tareas de Windows

Quizás lo único que hace es cargarse en el inicio de sesión mediante la clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run con el valor C:\WINDOWS\System32\Pixmar.exe, y para eso sigue estando muy mal ya que el nombre que tiene en el registro es el mismo que tiene la aplicación normal y el mismo que sale en las propiedades, y este es otro caso a analizar, puesto que ningún virus (o casi ninguno) tiene dato alguno en las propiedades a diferencia de este.

El otro dato similar al de un virus es que se graba en las memorias. Y ojo, dije memorias esta vez, no unidades, puesto que no hace nada en las unidades fijas (discos duros) solo en las memorias y no siempre, sino solo cuando estas se insertan en la máquina. Una vez que la memoria está dentro e infestada, si se elimina manualmente el archivo este no vuelve a aparecer hasta tanto no se extraiga y se vuelva a insertar la Flash.

Declaro que me causó gran intriga este ejecutable en especial, puesto que, si es un virus, no entendía cual era su función; no se preocupa por ocultarse ni limita las funciones de la PC.

Fue entonces que, al no estar comprimido con UPX, pude ver algunos fragmentos del código del ejecutable y me di cuenta que para algo estaba utilizando un calendario con los días y meses del año.

Pensé entonces que este virus podía ser un Troyano típico, así que traté de jugar un poco con la hora de la máquina pero nada. Le da lo mismo que estemos en el 2000 que en el 2050, el se mantiene inerte, como si fuese un archivo más de Windows.

Lamentablemente no tengo antivirus instalado, pero agradecería que alguien lo instalara con todos los antivirus que se pueda con el fin de saber si estos lo reconocen, y en caso positivo como que lo tienen: troyano, bomba lógica, etc…



Artículos relacionados


No hay comentarios: