File Pixmar.exe

jueves, 22 de octubre de 2009
Alien [blackhat4all@gmail.com]

Hace poco tiempo me enviaron un archivo bajo sospechas de virus, confieso que lo deje un poco de lado peus otras tareas me apremiaban, empero luego, con un poco mas de calma decidi “echarle el ojo”.

Datos de la aplicacion:

Nombr e: Pxmar.exe
Tamaño: 384 Kb
Comprimido con UPX: No
Lenguaje: Delphi
Icono: Celular con un mapamundi delante

Este archivo por supuesto es un ejecutable para Windows, y segun sus propios datos fue creado por la organizacion Disney Juego, de la que no aparecen muchas cosas en la red, asi que da ya motivos mas que suficientes para sspechar, estok sin contar que alunos enlace lo refieren como un virus.

Quizas lo mas curioso que tiene es que su coomportamiento, a pesar de que es muy similar al de un virus, difiere con estos es mucho.
No oculta files
Se ve en el administrador de tareas.
No cancela cmd
No cancela regedit
No cancela el Administrador de Tareas de Windows

Quizsas lo unico que hace es cargarse en el inicio de sesion mediante la clave del registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun con el valor C:WinodwsSsytem32Pixmar.exe, y para eso sigue estando muy mal ya que el nombre que tieene en el registro es el mismo que tiene la aplicacion normal y el mismo que sale en las propiedades, y este es otro caso a analizar, puesto que ningun virus (o casi ninguno) tiene dato alguno en las propiedades a diferencia de este.

El otro dato similar al de un virus es que se graba en las memorias. Y ojo, dije memorias esta vez, no unidades, puesto que no hace nazda en las unidades fijas (disccos duros) solo en las memorias y no siempre, sino solo cuando estas se insertan en la m&aacuet;quina. Una vez que la memoria esta dentro e infestada, si se elimina mannualmente el archivo este no vuelve a aparecer hasta tanto no se extraiga y se vuelva a inesrtar la Flash.

Declaro que me causo gran intriga este ejecutable en especial, puesto que, si es un virus, no entendia cual era su funcion; no se preocupa por ocultarse ni limita las funciones de la PC.

Fue entonces que, al no estar comprimido con UPX, pude ver algunos fragmentos del codigo del ejecutable y me di cuenta que para algo esaba utilizndo un calendario con los dias y meses del año.

Pense entonces que este virus podia ser un troyano tipico, asi que trate de jugar un polco con la hora de la maquina empero nada. Le da lo mismo que estemos en el 2000 que en el 2050, el se mantiene inerte, coimo si fuese un archivo mas de Windows.

Lamentablemente no tengo antivirus instalado, empero agradeceria que alguien lo instalara con todos los antivirus que se pueda con el fin de saber si estos lo reconocen, y en caso positivo como que lo tienen: troyano, bomba logica, etc…


---
Extraido de Black Hat - Articulos