Datos:
Nombre: Exporer.exeIcono: Similar al de una foto
Tamaño: 23 Kb
UPX: No
Lenguaje: Delphi (Quizás)
Como todos los demás virus, explorer.exe va a parar de inmediato a las raíces de todas las unidades junto con un autorun.inf e igualmente deshabilita la opción de ver los archivos y carpetas ocultos. pero no se limita a esto, sino que también deshabilita la edición del registro aunque aún permite el trabajo en la consola. Entre sus puntos débiles está que se muestra en el administrador de tareas de Windows (Ctrl + Alt + Del) bajo el nombre de EXPLORER.exe (Nótese que el nombre del proceso es en mayúsculas a diferencia del explorer normal)
La imagen del virus se graba oculta además de en las raíces de las unidades en C:\WINDOWS\System32 bajo el nombre de iexplorer.exe y aún conserva el icono de una imagen.
Se graba también en C:\WINDOWS\System32\ con el nombre wuauc1t.exe, muy similar al nombre de un archivo de Windows que se encentra en esa misma ubicación.
Cada unos 30-40 segundos recorre las raíces de las unidades, pero no solo para ocultar los archivos que al virus le pertenecen, sino para reemplazar el autorun.inf en caso de que coexista otro virus en la máquina. Con esto logra que en caso que una memoria se introduzca, sea su código y no otro el que la infeste. (oculta también a iexplorer.exe y a wuauc1t.exe)
A pesar de que el proceso sale en el administrador de tareas y se pueda cancelar desde allí, esto no es el kit de la cosa, ya que como tal lo que verdaderamente hace es que pone una serie de programas en una especie de lista negra y a el como el debuger por defecto de esos programas, de esa forma cada vez que se intenta ejecutar una aplicación que está en esta "lista negra" a quien verdaderamente se está llamando es al virus (intresting!!)
Dentro de la lista aparentemente está el editor del registro (regedit.exe), ya que cada vez que se llama al mismo el virus se ejecuta.
Solución.
Lo primero es abrir el registro, pero como no se puede por estar este en la lista negra, lo que debemos hacer es cambiarle el nombre, así el ejecutable que se cargará no será regedit.exe sino hola.exe (por ejemplo). Ahora, si se intenta renombrar C:\WINDOWS\Regedit.exe en hola.exe, lo más probable es que a los pocos segundos de un error, puesto que el editor del registro es uno de los archivos claves del sistema operativo y este constantemente tratará de protegerlo y en caso que no se encuentre repondrá una copia del mismo que tiene almacenada en C:\WINDOWS\system32\dllcache.Entonces, para evitarnos esto, lo que debemos hacer es modificar directamente el que está en dllcache.
Sabiendo que el regedit está en la lista negra, lo que debemos hacer es ver cuantos archivos más está con el. Para esto abrimos el registro (recuerden que ahora es hola.exe) y buscamos por la palabra regedit. Serán varias las entradas que hagan referencia al mismo pero a nosotros solo nos interesarán en las que la palabra buscada aparezca como un valor y no como una clave.
Lamentablemente esos son los datos que se me están permitidos revelar, no obstante, si les sugiero a todos los que hayan aprendido un poquito sobre virus a que lo busquen, analicen, y vean por ustedes mismos las cosas tan interesantes que hace este virus y de la forma tan original que trabaja.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario