Antiguo BlogSeguridadWindows

Virus again: método papelera (recycler)

Hoy de nuevo me he topado con un aUtOrUn.inf en uno de mis pendrives, siendo el contenido el siguiente:

Texto eliminado por http://enramos.es/2011/07/13/soy-un-virus/

En la carpeta Earlylife hay un desktop.ini con el siguiente contenido:

Texto eliminado por http://enramos.es/2011/07/13/soy-un-virus/

Este tipo de virus/troyanos utiliza el llamado (o traducido) “método papelera”, que consiste básicamente en, a través del dektop.ini, mostrarnos la papelera de reciclaje de nuestro sistema en caso de que intentáramos ver el contenido de la carpeta (Early/life en este caso).

He probado a pasarle el clamav al archivo UpDaTe.exe con objeto de ver de que “tipo de virus” se trata, pero no me ha detectado nada, por lo que de momento no se lo que hace, pero hay antecedentes de troyanos tipo recycler que permiten tomar cierto control de la máquina infectada y ocasionan cortes de internet, cuelgues inesperados, etc…. casualmente algunos de los síntomas que se están experimentando en en lugar en el que he “capturado” dicho ejemplar….

[Actualización]

Al final para ver de que tipo de virus se trata, he optado por utilizar unos servicios online que permiten cargar un archivo para que sea examinado con diversos motores antivirus y en efecto, posee código malicioso, como era de esperar.

Los servicios que he encontrado (y probado) son virustotal.com y virusscan.jotti.org y los resultados obtenidos han sido este y este. Lo extraño (o no), es que los equipos infectados tienen el Panda, y según estas webs el panda sí reconoce este tipo de virus/troyano.

Además por curiosidad he ojeado el ejecutable con un editor hexadecimal para ver si era capaz de obtener información interesante, y de lo poco que he conseguido deducir es una referencia a C:WINDOWSsystem32msvbvm60.dll, aunque no se si será por haber sido esta “alterada” o simplemente por ser utilizada por el ejecutable…

En resumen, que habría que probar a desinfectarlo utilizando diversos antivirus o bien buscando el procedimiento “manual”, lo cual creo que voy a obviar y delegar estas tareas a los antivirus que para eso están, y que en parte es lo que podría haber echo desde el principio, pero la verdad es que me apetecía curiosear un poco ^.^

Earlylife
  • Hace un tiempo me encontré con este caso y también publiqué un manual, lo llamé método papelera y debe de ser que gustó a la gente xD
    Esta librería msvbvm60.dll, es la utilizada por ejecutables de visual basic 6, seguramente ese malware estaba codeao en este lenguaje… si no también es posible que tan solo permaneciese encriptado pues la mayoría de crypters públicos están en este lenguaje que es más fácil y rápido.

    Si quieres curiosear un poco más sobre que es lo que hace este ejecutable puedes enviar la muestra a anubis.iseclab.org, está web se encarga de correr tu ejecutable sobre una máquina virtual donde se guardan todos los registros, creaciones, conexiones… (movimientos) que hace este sobre el sistema, de tal forma que se hace más facil saber que daños a causado para repararlos, aunque muchos malware ya traen antis para no ejecutarse en estos entornos y no dejar pruebas fáciles.

    Y Panda por muy español y cercano que nos sea… está no demasiado a la altura en tema detecciones, en donde trabajo uso el Administrator y cada dos por tres me toca o limpiar a mano o recuperar imagen de sistema jeje

    Un Saludo Erique!

  • Yo ni idea, le llamé así porque encontré referencias por internet buscando la cadena del desktop.ini

    La verdad es que no estoy metido en esos temas, pero a veces me encuentro bixillos en pendrives que me traigo de la calle y en función del tiempo que disponga pos investigo un poco. Lo del panda, opino lo mismo… pero las aulas no son mías ;o)

    Muy interesante la página que me comentas, haré algunas pruebas con los bichillos que voy guardando y si veo que tal publico algo.

    Gracias por el comentario, y saludos igualmente ;o)