Tweet
Bom, inspirado no Nickguitar.dll e nesse tópico: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... eu resolvi montar uma VM e sair análisando alguns vírus por ai pela internet a fora, vou postar os resultados e gostaria de pedir para que tiver afim me enviar links de vírus de qualquer tipo da internet aqui no tópico para que possa análisar (não tenho criatividade para achar vírus) obviamente que algo muito pesado não irá rolar devido a potência da VM não ser das melhores e nem sempre será possível rastrear o autor devido a complexidade de alguns que rolam por ai.
Segue:
Investigação 1 - Peguei uns bem fáceis para começar
Engenharia usada pelo cara: [ame]http://www.youtube.com/watch?v=wB6hET240Sk[/ame]
Ao executar neutralbot.exe ele cria um executavel em C:\Users\sn3f4\AppData\Local\Temp\ chamado Service.exe
esse tenta se camuflar em um arquivo com nome legitimo chamado svchost.exe
Cria essa chave no registro:
HKUS\S-1-5-21-1996187947-4073372060-2745092542-1000\Software\Microsoft\Windows\CurrentVersion\Run \System Service
Cria o executavel svchost.exe de forma oculta em C:\Users\sn3f4\AppData\Local\Temp\plugtemp\svchost .exe
Abre uma conexão direta com IP: 217.210.194.210 na Porta 1604
Chegando no IP do autor:
<-- Encontrando No-IP | harizande.no-ip.org
<-- Mostrando o arquivo criado chamado Service.exe, esse foi criado no dia 02/08/2013 2:34
<-- Mostrando a configuração do sistema com o nome que ele se inicia
<-- Comparando svchost.exe real e modificado.
<-- Mostrando o diretório e o executavel que faz a conexão de forma oculta
<-- Ping no No-IP do cara para confirmar o primeiro IP capturado.
Resultado.. ou é uma máquina alugada ou proxy.
Investigação 2
Engenharia usada pelo cara: [ame]http://www.youtube.com/watch?v=11s5Wsat5LQ[/ame]
Ao executar magebot.exe
cria arquivo chamado winini.exe 
Diretório:
C:\Users\sn3f4\AppData\winini.exe
winini.exe cria um executavel chamado cvtres.exe
de modo oculto em C:\Users\sn3f4\AppData\Local\Temp\cvtres.exe e abre uma
conexão com IP: 85.228.19.53 Porta 1604 Conexão:
Inicia nas Configuraçoes do Sistema um executavel com nome Windows live falso com está chave no Registro: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IP do cara
Colaborem ai com links com executaveis suspeitos ou coisas do tipo, mas alertem antes para que desavisados não cliquem ou baixem.
Segue:
Investigação 1 - Peguei uns bem fáceis para começar
Engenharia usada pelo cara: [ame]http://www.youtube.com/watch?v=wB6hET240Sk[/ame]
Ao executar neutralbot.exe ele cria um executavel em C:\Users\sn3f4\AppData\Local\Temp\ chamado Service.exe
esse tenta se camuflar em um arquivo com nome legitimo chamado svchost.exe
Cria essa chave no registro:
HKUS\S-1-5-21-1996187947-4073372060-2745092542-1000\Software\Microsoft\Windows\CurrentVersion\Run \System Service
Cria o executavel svchost.exe de forma oculta em C:\Users\sn3f4\AppData\Local\Temp\plugtemp\svchost .exe
Abre uma conexão direta com IP: 217.210.194.210 na Porta 1604
Chegando no IP do autor:
<-- Encontrando No-IP | harizande.no-ip.org <-- Mostrando o arquivo criado chamado Service.exe, esse foi criado no dia 02/08/2013 2:34 <-- Mostrando a configuração do sistema com o nome que ele se inicia <-- Comparando svchost.exe real e modificado. <-- Mostrando o diretório e o executavel que faz a conexão de forma oculta <-- Ping no No-IP do cara para confirmar o primeiro IP capturado.Resultado.. ou é uma máquina alugada ou proxy.
Investigação 2
Engenharia usada pelo cara: [ame]http://www.youtube.com/watch?v=11s5Wsat5LQ[/ame]
Ao executar magebot.exe
cria arquivo chamado winini.exe Diretório:
C:\Users\sn3f4\AppData\winini.exe
winini.exe cria um executavel chamado cvtres.exe
de modo oculto em C:\Users\sn3f4\AppData\Local\Temp\cvtres.exe e abre uma conexão com IP: 85.228.19.53 Porta 1604 Conexão:
Inicia nas Configuraçoes do Sistema um executavel com nome Windows live falso com está chave no Registro: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IP do cara
Colaborem ai com links com executaveis suspeitos ou coisas do tipo, mas alertem antes para que desavisados não cliquem ou baixem.
Comment