Usuario: Contraseña:
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Autor Tema: un nuevo malware con tecnicas diferentes a las conocidas hasta ahora: el hlux  (Leído 733 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado alexbart

  • Moderador Global
  • Trade Count: (0)
  • ****
  • Mensajes: 2272
  • Colaboraciones +100/-0
  • Sexo: Masculino
  • no compres adopta


Nos hemos encontrado con una especie de Rootkit, descargado por FAKE WRITE, que al ejecutarse

- Queda residente. (utilizando como proceso activo el"WUAUCLT.EXE")
- Oculta ficheros del sistema.
- Intercepta algunas aplicaciones como "hijackthis.exe", "rstrui.exe", "spybotsd.exe", etc
- El Nombre de la Carpeta especial donde se esconde, asi como el Fichero y el Valor del Registro varian según sistema.


Mientras esté activo, dicha carpeta especial, tiene propiedades de la carpeta de "Impresoras", con contenido no visible.

Mientras está en uso, no se puede eliminar ni la Carpeta ni las claves del registro de lanzamiento.


Por ello es muy importante para su detección y eliminación, arrancar en MODO SEGURO, y en dicho modo, lanzar el ElistarA.


El preanalisis de virustotal, nos muestra este informe:

SHA256: 56922e73930b1c2a79dc422bf3b7d23cf8e5683c7022b5723d2dd7f56cb7811a
SHA1: 42bb4719528d9138e84d1fe560770e33f335419e
MD5: c1c917feab6c7a4340c692ffc1793fae
Tamaño: 280.0 KB ( 286720 bytes )
Nombre: xkrtxopie.exe
Tipo: DOS EXE
Detecciones: 28 / 46
Fecha de análisis: 2013-05-06 13:27:42 UTC ( hace 0 minutos )

0 2 Más detalles ?Análisis ?File detail
?Información adicional ?Comentarios ?Votos
Antivirus Resultado Actualización
Agnitum Trojan.DR.Agent!i/UYT9sT4+E 20130505
AhnLab-V3 Dropper/Win32.Agent 20130506
AntiVir TR/Drop.Agent.hkch 20130506
Antiy-AVL ? 20130506
Avast ? 20130506
AVG SHeur4.BHGJ 20130506
BitDefender Trojan.Generic.9018710 20130506
ByteHero ? 20130425
CAT-QuickHeal ? 20130506
ClamAV ? 20130506
Commtouch W32/Trojan.NYWF-7106 20130506
Comodo TrojWare.Win32.Trojan.Agent.Gen 20130506
DrWeb Trojan.PWS.Siggen1.1437 20130506
Emsisoft Trojan.Win32.Agent.AMN (A) 20130506
eSafe ? 20130501
ESET-NOD32 a variant of Win32/Kryptik.AZUM 20130506
F-Prot ? 20130506
F-Secure Trojan.Generic.9018710 20130506
Fortinet W32/Agent.HKCH!tr 20130506
GData Trojan.Generic.9018710 20130506
Ikarus Trojan-Dropper.Win32.Agent 20130506
Jiangmin ? 20130506
K7AntiVirus ? 20130503
K7GW ? 20130503
Kaspersky Trojan-Dropper.Win32.Agent.hkch 20130506
Kingsoft ? 20130506
Malwarebytes Trojan.Agent 20130506
McAfee Artemis!C1C917FEAB6C 20130506
McAfee-GW-Edition Artemis!C1C917FEAB6C 20130506
Microsoft ? 20130506
MicroWorld-eScan Trojan.Generic.9018710 20130506
NANO-Antivirus Virus.Win32.Gen.ccmw 20130506
Norman Troj_Generic.KUQBA 20130506
nProtect Trojan.Generic.9018710 20130506
Panda Trj/OCJ.E 20130506
PCTools ? 20130506
Sophos ? 20130506
SUPERAntiSpyware ? 20130506
Symantec WS.Reputation.1 20130506
TheHacker ? 20130505
TotalDefense ? 20130503
TrendMicro TROJ_SPNR.14E413 20130506
TrendMicro-HouseCall TROJ_SPNR.14E413 20130506
VBA32 Heur.Trojan.Hlux 20130506
VIPRE Trojan.Win32.Generic!BT 20130506
ViRobot ? 20130506

A partir del ElistarA 27.61 de hoy, se ha potenciado su detección por acción directa, detectando las claves de lanzamiento, siempre y cuando se esté operando en MODO SEGURO.


Dicha versión del ElistarA 27.61 que lo detecta y elimina, estará disponible en neustra web a partir de las 19 h CEST de hoy

saludos

ms, 6-5-2013


NOTA:

añade clave detras del nombre de la carpeta de marras (oculta con atributos +s +h), lo que le da propiedades espèciales, por ejemplo "%Archivos de Programa%\Common
Files\894fy894yt98.{2227A280-3AEA-1069-A2DE-08002B30309D}\xkrtxopie.exe"

Con ello Mientras esté activo, se convierte en una carpeta con propiedades de la carpeta de "Impresoras" cuyo contenido no es visible.

REPETIMOS : ES MUY IMPORTANTE ARRANCAR EN MODO SEGURO PARA PODER CONTROLARLO !!!


:)  :)

pd : mas noticias en AuditoriasWireless Noticias | Facebook
« Última modificación: 06 de Mayo de 2013, 11:44:27 pm por alexbart »

Desconectado maripuri

  • WWAuditor-PRO developer
  • Moderador Global
  • Trade Count: (0)
  • *****
  • Mensajes: 4814
  • Colaboraciones +235/-4
  • Sexo: Femenino
  • Scripting Girl
    • WirelessWindows
Re:UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUX
« Respuesta #1 en: 06 de Mayo de 2013, 07:33:15 pm »

¿Tu también alex.. hijo mío ?      :'(     


¿O estás por la calle repartiendo las noticias.. ?    :)

WWAuditor-PRO developer
No preguntes sobre temas del foro por privado, participa en el

Desconectado alexbart

  • Moderador Global
  • Trade Count: (0)
  • ****
  • Mensajes: 2272
  • Colaboraciones +100/-0
  • Sexo: Masculino
  • no compres adopta
Re:UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUX
« Respuesta #2 en: 06 de Mayo de 2013, 08:08:47 pm »
¿Tu también alex.. hijo mío ?      :'(     


¿O estás por la calle repartiendo las noticias.. ?    :)



comorrrrrrrrrrrrrrrrrrr?   :o :o

Desconectado maripuri

  • WWAuditor-PRO developer
  • Moderador Global
  • Trade Count: (0)
  • *****
  • Mensajes: 4814
  • Colaboraciones +235/-4
  • Sexo: Femenino
  • Scripting Girl
    • WirelessWindows
Re:UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUX
« Respuesta #3 en: 06 de Mayo de 2013, 10:18:38 pm »

El título.. mayúsculas melón (como dice Juan)    ;D
WWAuditor-PRO developer
No preguntes sobre temas del foro por privado, participa en el

Desconectado alexbart

  • Moderador Global
  • Trade Count: (0)
  • ****
  • Mensajes: 2272
  • Colaboraciones +100/-0
  • Sexo: Masculino
  • no compres adopta
Re:UN NUEVO MALWARE CON TECNICAS DIFERENTES A LAS CONOCIDAS HASTA AHORA: EL HLUX
« Respuesta #4 en: 06 de Mayo de 2013, 11:46:11 pm »
El título.. mayúsculas melón (como dice Juan)    ;D

corregido gracias se me paso en fin no somos ferpeptos   :)  :)

Desconectado papones

  • Administrador
  • Trade Count: (0)
  • *****
  • Mensajes: 8513
  • Colaboraciones +195/-5
  • Sexo: Masculino
  • La paciencia la madre de la ciencia
    • Locos Por El Wifi
Re:un nuevo malware con tecnicas diferentes a las conocidas hasta ahora: el hlux
« Respuesta #5 en: 07 de Mayo de 2013, 12:20:19 am »

Recomendaciones y links de verdad y gratis,al final del post



http://www.comodo.com

Código: [Seleccionar]
http://www.comodo.com/home/internet-security/anti-malware.php?key5sk1=d588f0e368158b0f3f8c6f7bcdb7f5dcc0c5f141&key5sk2=2128&key5sk3=1367879207000&key5sk4=2128&key5sk5=1367879461000&key5sk6=&key5sk7=1367879474000&key6sk1=&key6sk2=CH260141064&key6sk3=7&key6sk4=es-es&key6sk5=ES&key6sk6=0&key6sk7=http%3A%2F%2Fwww.comodo.com%2F&key6sk8=117700&key6sk9=19201200&key6sk10=true&key6sk11=e4e278cb1d1362f28805efb491dd750041a65e97&key6sk12=2034&key7sk1=2&key7sk2=51&key1sk1=dt&key1sk2=http%3A%2F%2Fwww.comodo.com%2F
Aplicación gratuita,que elimina todos los malwares tipo booc,appdata,temp,procesos de control remoto/temp
,windows suplantación de registros,ocultación de permissos,denegacion de autorizacion para ver a todos los archivos ocultos,bootmbrs infectados,etc





La web de la descarga te quiere cobrar un sms premium
Eso quiere decir,que si te lees los términos y las condiciones reales del servicio contratado por esa web,
claro esta la  letra pequeña del contrato ,pero la letra pequeña del tipo de contrato que tenga esa web,con
el el gestor de servicios ,de servicios de cobro por sms premiun

Bueno demostración

Inspeccionamos los bloques,las licencias de aplicaciones no mostradas en el index











Código: [Seleccionar]
http://www.comodo.com/home/internet-security/anti-malware.php?key5sk1=d588f0e368158b0f3f8c6f7bcdb7f5dcc0c5f141&key5sk2=2128&key5sk3=1367879207000&key5sk4=2128&key5sk5=1367879461000&key5sk6=&key5sk7=1367879474000&key5sk8=&key5sk9=1367879565000&key5sk10=&key5sk11=1367879596000&key6sk1=&key6sk2=CH260141064&key6sk3=7&key6sk4=es-es&key6sk5=ES&key6sk6=0&key6sk7=http%3A%2F%2Fwww.comodo.com%2F&key6sk8=117700&key6sk9=19201200&key6sk10=true&key6sk11=e4e278cb1d1362f28805efb491dd750041a65e97&key6sk12=2034&key7sk1=2&key7sk2=51&key7sk3=31&key7sk4=37&key1sk1=dt&key1sk2=http%3A%2F%2Fwww.comodo.com%2F
« Última modificación: 07 de Mayo de 2013, 12:42:03 am por papones »
Lease las normas del foro si es tan amable
http://www.auditoriaswireless.net/index.php/topic,3.0.html
Presentese  a la comunidad en el apartado del foro PRESENTACIONES

Desconectado maripuri

  • WWAuditor-PRO developer
  • Moderador Global
  • Trade Count: (0)
  • *****
  • Mensajes: 4814
  • Colaboraciones +235/-4
  • Sexo: Femenino
  • Scripting Girl
    • WirelessWindows
Re:un nuevo malware con tecnicas diferentes a las conocidas hasta ahora: el hlux
« Respuesta #6 en: 07 de Mayo de 2013, 12:33:19 pm »
Citar
corregido
Este es de nuevo mi alex..    ;D
WWAuditor-PRO developer
No preguntes sobre temas del foro por privado, participa en el

Desconectado alexbart

  • Moderador Global
  • Trade Count: (0)
  • ****
  • Mensajes: 2272
  • Colaboraciones +100/-0
  • Sexo: Masculino
  • no compres adopta
Re:un nuevo malware con tecnicas diferentes a las conocidas hasta ahora: el hlux
« Respuesta #7 en: 07 de Mayo de 2013, 08:59:35 pm »
Este es de nuevo mi alex..    ;D

que hariamos sinti jeje gracias


Share me

Digg  Facebook  SlashDot  Delicious  Technorati  Twitter  Google  Yahoo
Smf

 

Dumpper All V.x.x

DUMPPER WPS PENTESTING