#####################################
## HACKINDEX ##
## http://www.hackindex.org ##
#####################################
Titulo: Apreti pass
Autor: Lokutus
Tema: Virus y gusanos
La información incluída en este documento es expuesta en base a un interés educativo. HackIndex no se hace responsable del uso de dicha información.
El siguiente documento es propiedad de HackIndex y de su autor, pudiendo ser distribuído de forma totalmente libre y sobre cualquier tipo de soporte siempre y cuando se respete el formato original, se cite a A.H.E. como fuente, se incluya un enlace actualizado al documento o a la web del grupo: http://www.hackindex.org ; y se incluya este disclaimer en su totalidad y sin modificación alguna.
Queda extrictamente prohibida su distribución con fines lucrativos, cuando se altere su contenido sin consentimiento o cuando se incumpla cualquier otra condicion citada anteriormente en el presente disclaimer.
#####################################
Hola, me han enviado por email uno de esos troyanos que pululan por la red, en este caso el Pretty Park, aunque la versión antigua, y como siempre que me envían un virus o un troyano me pongo la mar de contento, ya tengo una victima más para asimilar, 
)), he podido completar el script de detección y eliminación del Pretty Park que pongo en el grupo de binarios, junto con algunas cosas más.
El proceso de asimilación, lo he realizado en un ordenador aparte, un viejo 486, ejecutando intencionadamente el icono de “apreti pas” como yo lo llamo.
En la primera prueba con el script, al intentar introducir en el registro HKLM\SOFTWARE\Classes\exefile\shell\open\command el valor “”%1 “%*” me confundí en el script y me cargué el registro, 
. Aunque el sistema seguía funcionando, no podía pararlo, y cuando ejecutaba un programa, no veía sus parámetros, por ejemplo, si hacía un “xcopy fichero1 fichero2″, no me lo copiaba.
Le pasé el RegClean.exe que está en http://www.microsoft.com y me quitó un montón de porquerías del registro, y eso que el sistema operativo estaba recien reinstalado, pero no me resolvió el problema.
Al final me dí cuenta que al escribir el valor “”%1 “%*”, lo puse al reves, y lo que tenía en el registro era “”%1 “*%”.
O sea, el %1 es el primer parámetro, el nombre del fichero y %* son todos los demás parámetros, si escribiese en el registro “”%1 “%2″, no habría posibilidad de pasar más de un parámetro a los programas, cogería el primero y los demás los descartaría. Simplemente no podía pasar parámetros a los programas por que Windows no sabía que hacer con “*%” que ignoraba. Probablemente, la parada del sistema se haga llamando a algún *.exe con un parámetro, y al no tener ese parámetro el ejecutable de parada no funcionaba.
Una vez funcionando el script limpiador, hice algunas pruebas más, por un lado lo he desensamblado para intentar extraer la rutina de ocultación en la tabla de procesos, no lo he conseguido todavía, cuando lo consiga veré si puedo meterla en el GranRAd como código inline, (nunca lo he hecho con Visual C++).
Por otro lado, tengo unos programitas interesantes que conseguí de http://www.sysinternals.com/
regmon95.zip Tracea todos los accesos al registro de windows.
openlist.zip Mantiene una lista de ficheros bloqueados.
filemon.zip Tracea todos los accesos a disco.
Al ejecutar Pretty Park, me quedé asombrado de la cantidad de consultas que hace, el fichero *.log que he guardado lo tengo en el grupo es.misc.binarios, pero resumiendo hace lo siguiente:
Extrae datos acerca de la versión de Windows. Extrae datos del panel de control. Intenta averiguar si tenemos puertos de comunicaciones, COM1, COM2, y de impresora, LPT1 Averigua que protocolos tenemos instalados, si tenemos una DLL de autodialing, Extrae varios parámetros de comunicaciones, si tenemos proxi instalado o si nos conectamos a un proxi. Averigua si estamos capacitados para hacer pings, ¡¡Otia!!, ¿el pretty park hace pings?
Cuando FILES32.vxd entra en ejecución, hace exactamente los mismos accesos y consultas que el fichero Pretty Park.exe, de echo son los dos del mismo tamaño, de echo son el mismo fichero, pero cambiado de nombre.
Ejecutando nuevamente Pretty Park.exe con el programa filemon.exe activado, observamos como hace accesos de lectura a PrettyPark.exe y de escritura a FILES32.VXD, o sea, un proceso de copia.
En el fichero filemonlog.LOG, los accesos de “???” son del sistema operativo. Y por último, puede hayar la causa de por qué Pretty park no mostró en mi máquina los sintomas de su ejecución, la activación del salvapantallas de tuberías.
568 23:37:26 Files32 Attributes C:\WINDOWS\SSPIPES.SCR NOTFOUND GetAttributes
Lokutus, asimilando la red.
No hay posts relacionados.
Etiquetas: gusanos, hackindex, lokutus, prettypark, troyanos, virii, virus, virusing