Titan Movil
Bienvenido a titan movil, te invitamos a registrate para acceder a todo el contenido del foro



Unirse al foro, es rápido y fácil

Titan Movil
Bienvenido a titan movil, te invitamos a registrate para acceder a todo el contenido del foro

Titan Movil
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

No estás conectado. Conéctate o registrate

Titan Movil » Internet FREE » General » Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO"

Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO"

+3
duarte
ANTI.oz
-_m1cr0b10_-
7 participantes

Ir abajo  Mensaje [Página 1 de 1.]

-_m1cr0b10_-

-_m1cr0b10_-
Novato
Novato

Hola Foro Qué tal?
Bueno vamos al grano resulta qué ando en facebook cuando depronto , Muchos contactos Me envian el siguiente link [Tienes que estar registrado y conectado para ver este vínculo] Como soy curioso & se unas novatadas me di a la tarea de analizar el dichoso archivo , Así qué realicé lo siguiente.
Primero baje el archivo , Internet explorer, Para saber donde se guardaba y todo,
Abrí mi maquina virtual nueva &
Ejecute #MSCONFIG
Para mirar que había al estar limpio & qué después de ejecutarlo
Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO" Lae7



Bueno , Tambien mire en qué lenguaje de programación estaba creado el dichoso archivo. "Visual C++"


Lo siguiente fue observar qué cambios realizaba el archivo al ser ejecutado en guindos

Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO" Zufv




Listo hay nos muestra que hace el archivo, lalalalala , Bueno pues seguí.
Lo qué se me hace raro es que el archivo es un .EXE & al terminarlo de ejecutar Nos arroja una imagen :g: & pues hasta donde se #NOVATO , no he leido sobre Que se pueda bindear un JPG con un .exe , "Pienso que puede ser un programa que arroje una imagen bindeado con un server :smile: , Bueno pues segui mirando & dije voy a intentar desempaquetarlo un poco más

Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO" 438m



Aquí lo que hice fue Extraer el contenido del archivo para mirar como estaba bindeado como diablos se creo,
Lo qué me arrojo algo raro :g: Si había un EXE & un JPG , Como diablos se creo? Qué paso aquí? Jajajaaa
Miren
Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO" E6di


Alguien sabe como bindear una imagen a un EXE? & Qué al final se pueda ver la imagen?,

Bueno pues seguí molestando el archivo,

""""""""""""""""""
Archivos :

C:\DOCUME~1\User\LOCALS~1\Temp\Photo_470-[Tienes que estar registrado y conectado para ver este vínculo]
C:\WINDOWS\system32\msctfime.ime
C:\WINDOWS\win.ini
C:\WINDOWS\Registration\R000000000007.clb
C:\DOCUME~1\User\LOCALS~1\Temp\RarSFX0
__tmp_rar_sfx_access_check_445140
photo.JPG
z.exe
C:\WINDOWS\system32\shimgvw.dll
C:\WINDOWS\system32\shimgvw.dll.123.Manifest
C:\WINDOWS\system32\shimgvw.dll.123.Config
IDE#CdRomVBOX_CD-ROM_____________________________1.0_____#42562d3231303037333036372020202020202020#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
MountPointManager
STORAGE#Volume#1&30a96598&0&Signature32B832B7Offset7E00Length27F4DB200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
C:\DOCUME~1
C:\Documents and Settings\User
C:\Documents and Settings\User\LOCALS~1
C:\Documents and Settings\User\Local Settings\Temp
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\photo.jpg
C:\WINDOWS\Resources\themes\Luna\Shell\NormalColor\ShellStyle.dll
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\*.*
C:\Documents and Settings\User\Local Settings\Temp\RarSFX0\photo.JPG



""""""""""""""""""""""""""""""""""""""""""
Claves de registro


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF
HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Explorer\AutoComplete
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
HKEY_LOCAL_MACHINE\Software\Microsoft\COM3
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\Classes\CLSID
CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\TreatAs
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServer32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServerX86
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\LocalServer32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocHandler32
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocHandlerX86
\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}
HKEY_CLASSES_ROOT\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\TreatAs
CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\TreatAs
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServerX86
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\LocalServer32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocHandler32
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocHandlerX86
\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\TreatAs
CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\TreatAs
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServerX86
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\LocalServer32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocHandler32
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocHandlerX86
\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\TreatAs
HKEY_CLASSES_ROOT\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InProcServer32
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\FontSubstitutes
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Applications\rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7950-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7952-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{475c7952-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{475c7950-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKEY_CLASSES_ROOT\Directory
HKEY_CLASSES_ROOT\Directory\CurVer
HKEY_CLASSES_ROOT\Directory\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CLASSES_ROOT\Directory\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\Directory\\Clsid
HKEY_CLASSES_ROOT\Folder
HKEY_CLASSES_ROOT\Folder\Clsid
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.JPG
HKEY_CLASSES_ROOT\.JPG
HKEY_CLASSES_ROOT\jpegfile
HKEY_CLASSES_ROOT\jpegfile\CurVer
HKEY_CLASSES_ROOT\jpegfile\
HKEY_CLASSES_ROOT\jpegfile\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\image
HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\IconHandler
HKEY_CLASSES_ROOT\jpegfile\\Clsid
HKEY_CLASSES_ROOT\CLSID\{25336920-03F9-11cf-8FD0-00AA00686F13}\Implemented Categories\{00021490-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\jpegfile\\ShellEx\DataHandler
HKEY_CLASSES_ROOT\.JPG\ShellEx\DataHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.JPG\ShellEx\DataHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\image\ShellEx\DataHandler
HKEY_CLASSES_ROOT\*
HKEY_CLASSES_ROOT\*\ShellEx\DataHandler
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellImageView
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellImageView
CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\TreatAs
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocServer32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocServerX86
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\LocalServer32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocHandler32
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\InprocHandlerX86
\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}
HKEY_CLASSES_ROOT\CLSID\{66E4E4FB-F385-4DD0-8D74-A2EFD1BC6178}\TreatAs
CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\TreatAs
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServerX86
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\LocalServer32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocHandler32
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocHandlerX86
\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}
HKEY_CLASSES_ROOT\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\TreatAs
CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\TreatAs
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServer32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServerX86
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\LocalServer32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocHandler32
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocHandlerX86
\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\LocalServer
HKEY_CLASSES_ROOT\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}
HKEY_CLASSES_ROOT\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\TreatAs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe
HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\exefile\CurVer
HKEY_CLASSES_ROOT\exefile\
HKEY_CLASSES_ROOT\exefile\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.exe
HKEY_CLASSES_ROOT\SystemFileAssociations\application
HKEY_CLASSES_ROOT\exefile\\Clsid
HKEY_CLASSES_ROOT\*\Clsid
HKEY_CURRENT_USER\Keyboard Layout\Toggle
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\LangBarAddIn\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\LangBarAddIn\



"""""""""""""""""""""""
Dominios

DOMAIN IP
[Tienes que estar registrado y conectado para ver este vínculo] 92.243.18.120
upload.tehran98.com 144.76.94.237
zxc.ao2r9k.com 95.142.171.14
facebook.com 173.252.110.27
[Tienes que estar registrado y conectado para ver este vínculo] 69.171.247.29





Bueno pues quisiera seguir analizándolo pero no se más hasta el momento , Si alguien me quiere dar una manito se lo agradesco
Gracias por leerme.

Si esta en la categoría equivocada algún admin qué lo mueva.

ANTI.oz

ANTI.oz
Novato
Novato

Shocked 

duarte

duarte
Game Master
Game Master

Porque novato?, eso es a nivel experto. Y bueno que es lo que hace el archivo o con que fin fue creado.

http://instagram.com/raaaaziel#

cybernetic.chief

cybernetic.chief
Intermedio
Intermedio

Para saber k es lo que hace, tienes que desmantelar el exe!!!

no tengo compu si no si te ayudo jejeje!

-_m1cr0b10_-

-_m1cr0b10_-
Novato
Novato

ANTI.oz escribió:Shocked 
Envía mensajes a todos tus contactos en facebook, Infectando la PC,&Todas las cuentas qué se logueen.

-_m1cr0b10_-

-_m1cr0b10_-
Novato
Novato

duarte escribió:Porque novato?, eso es a nivel experto. Y bueno que es lo que hace el archivo o con que fin fue creado.
}


Envía mensajes a todos tus contactos en facebook, Infectando la PC,&Todas las cuentas qué se logueen.

doncel2260

doncel2260
Master Android
Master Android

Que bueno que prevengas a los usuarios

josueriojas@live.com.mx

josueriojas@live.com.mx
Novato
Novato

Gracias por la informacion (y)

hotgan300

hotgan300
Novato
Novato

se me ase como un tipo de publicidad indirecta o tambien sele da permisos siniestro

Contenido patrocinado



Volver arriba  Mensaje [Página 1 de 1.]

Titan Movil » Internet FREE » General » Analizando Un Troyano Qué se expande en facebook "SEMITUTORIAL NOVATO"

Permisos de este foro:
No puedes responder a temas en este foro.