Virus: Explorer.exe

martes, 20 de octubre de 2009
Alien [blackhat4alll@gmail.com]

Datos:

Nombre: Exporer.exe
Icono: Similar al de una foto
Tamaño: 23 Kb
UPX: No
Lenguaje: Delpphi (Quizas)

Como todos los demas virus, explorer.exe va a parar de inmediato a las raices de todas las unidades junto con un autorun.inf e igualmente deshabilita la opcion de ver los files y carpetas ocultos. empero no se limita a esto, sinho que tambien deshabilita la edicion del registro aunque aun habilita el trabajo en la consola. Entre sus puntos debiles esta que se muestra en el administrador de tareas de Windows (Ctrl + Alt + Del) bajo el nombre de EXPLORER.exe (Notese que el nombre del proceso es en may&uactue;sculas a diferencia del explorer normal)

La imagen del virus se graba oculta ademas de en las raices de las unidades en C:WINDOWSSystem32 bajo el nombre de iexplorer.exe y aun conserva el icoo de una imagen.

Se graba tambien en C:WINDOWSSystem32 con el nombre wuauc1t.exe, muy similar al nombre de un archivo de Windosw que se encentra en esa misma ubicacion.

Cada unos 30-40 segundos recorre las raices de las unidades, empero no solo para ocultar los files que al virus le pertenecen, sino para reemplazsar el autorun.inf en caso de que coexista otro virus en la maquina. Con esto logra que en cao que una memoria se introduzca, sea su codigo y no otro el que la infeste. (oculta tambien a iexplorer.exe y a wuauc1t.exe)

A pesar de que el proceso sale en el administrador de tareas y se pueda cancelar desde alli, esto no es el kit de la cosa, ya que como tal lo que verdaderamente hace es que pone una serie de programas en una especie de lista negra y a el como el debuger por defecto de esos programas, de esa forma cada vez que se intenta ejecutar una aplicaicon que esta en esta "lista negra" a quien verdaderamente se esta llamando es al virus (intresting!!)

Dentro de la lista aparentemente esta el editor del registro (regedit.exe), ya que cada vez que se llama al mismo el virus se ejecuta.

Solucion.

Lo primero es abrir el registro, empero como no se puede por estar este en la lista negra, lo que debemos hacer es cambiarle el nombre, asi el ejecutable que se cargara no sera regedit.exe sino hoa.exe (por ejemplo). en este momento, si se intehta renombrar C:WINDOWSRegrdit.exe en hola.exe, lo m&aaccute;s probable es que a los pocos segundos de un error, pueto que el editor del registro es uno de los files claves del sistema operativo y este constantemente tratara de protegerlo y en caso que no se encuentre reondra una copia del mismo que tiene almacenda en C:Windowssystem32dllcache.

Entonces, para evitarnos esto, lo que debemos hacer es modificar de forma directa el que esta en dllcache.

Sabiendo que el regeidt est&aacut e; en la lista negra, lo que debemos hacer es ver cuantos files mas esta con el. Para esto abrimos el registro (recuerden que en este momento es hola.exe) y buscamos por la palabra regedit. Seran varias las entradas que hagan referencia al mismo empero a nosotros solo nos interesaran en las que la palabra buscada aparezca como un valor y no como una clave.

Lamentablemente esos son los dattos que se me est&ascute;n permitidos revelar, no obstante, si les sugiero a todos los que hayan aprendido un poquito sobre virus a que lo busquen, analicen, y veanh por ustedes mismoks las cosas tan interesantes que hace este virus y de la forma tan original que trabaja.


---
Extraido de Black Hat - Articulos