[HACK] Virus

Crono crono at thepentagon.com
Sat Apr 20 06:30:47 CEST 2002


Hola.

Mando esta mail para informar de un virus, q tras varias investigaciones
propias, he llegado a la conclusion de q te troyaniza el messenger
(microsoft) (MSN)
Veamos, todo comenzo con un mail q recibi, el cual, aprovechando q yo usaba
Outlook express 5.5 (sin parchear con la ultima vulnerabilidad de ejecucion
de codigo sin pedir permiso, pues justamente estaba haciendo pruebas
locales), me infecto el sistema...
Bien, en un principio, lo unico q observe q hacia era lo siguiente:
1) se manda automaticamente a todos aquellos q tenga en mi libreta de
direcciones.
2) Me crea un ejecutable, que puede ser: c:\windows\system\winXYZ.exe donde
"XYZ" puede ser cualquier valor. Con atributos: +rsh
3) Me crea una entrara en el registro en la parte de "../Run" para q
"winXYZ.exe" se ejecute cuando arranque el ordenador.

A parte de esto, en un principio, no vi q me hiciera nada mas... asi q con
las mismas, borre todas las "infecciones"  q me habia hecho, y reinicie...

Pero al reiniciar, el troyano, es decir "winXYZ.exe" seguia ejecutado (aunq
con otro nombre)...
Aqui empezo el mosqueo... asi q me puse a mirar mas en profundidad...
Editando y desemsamblo el .exe no encontre gran cosa... asi q me puse a
mirar los programas/modulos q tenia corriendo en mi maquina... y entre
ellos, habia otro .exe sospechoso, q se albergaba en: C:\archivos de
programa\*****.exe  <--- este archivo adoptaba cualquier nombre.

Pues bien, borre el winXYZ.exe, el *****.exe y toda entrada haciendo
referencia a estos archivos en el registro... Reinicio...

Y ahi estaban otra vez, ejecutados y corriendo en mi maquina...
Total, para no cansar mucho al personal (p1p0 siempre me decia q me extendia
mucho en mis explicaciones y q se aburria... asi q voy a resumir); despues
de varias  pruebas, descubri, q lo q tb hizo el virus, fue troyanizarme el
ejecutable del messenger, para lo cual me creó 2 ejecutables del messenger,
uno q hacia q se me crearan y ejecutaran los winXYZ.exe y el ****.exe, y
otro q creo q era el bueno del messenger (es q son casi iguales
internamente). De manera, q cuando rearrancas el ordenador, y se ejecuta el
messenger malo, te arranca tb el messenger bueno pa q no sospeches... y el
muy cucu ademas, si cierras el mesenger malo (le hacemos un kill al
programita), se cambia de nombre para q no lo encuentres (me imagino yo q
sera para eso).

La cosa es q mireis vuestro directorio donde este el messenger, y veais si
teneis 2 ejecutables iguales de tamaño, pero q uno se llama msmsgs.exe y
otro msmsgsrtl.exe <- el cual, si lo cierras, pasará a llamarse msmsgs.rtl.

No se si el troyano hace algo mas (no le di tiempo a mucho...)... pero
cualquier informacion sera de agradecer, pues en 2 dias, ya me han llegado 3
mails infectados con este mismo procedimiento desde diferentes hosts y
cuentas.

Crono





More information about the hacking mailing list