Bueno, descargue el archivo y lo hice revisar en virus Total. la empresa TendMicro lo detecta bajo el nombre: PAK_Generic.001 - la verdad nose que hace y yo me animo hasta aca. les dejo el link de virustotal: http://www.virustotal.com/es/analisis/e99ba68f509b6d3f592b929cbb98ff2f - quizas vuelvo a hacer otro analisis en virus total mas adelante para ver si otras casa de AV tambien lo detectan y en tal caso aviso. esta es mi humilde participacion. Saludos.

Oye el archivo bicho.exe esta dañado no?, o es parte del desafio?
No corre en extensiones como .bat, .com, txt, .reg, entre otras mas, que será?.

Oye y al parecer esta comprimido en UPX, ya lo intente descomprimir y tampoco, será que este dañado el archivo o no?

Salu2

Hola, soy julio:
En cuanto al archivo descargado:

1. Aparece una ventana con el titulo bicho con un boton “No hago nada” que en realidad al darle click crea un archivo llamado “NuMeRo.txt” en la carpeta c:\windows

A cada click en el boton se anexa un numero sucesivo más CR (retorno de carro) o ENTER a partir de cero cuando se da click por primera vez, siempre en el mismo archivo:
Ej:
0
1
2
.
.

2. En Windows XP un simple clic y en Vista se debe ejecutarlo con privilegios de administrador.

3. El objeto creado es el archivo “NuMeRo.txt” en la carpeta windows

4. Procedimientos:

Con IDA PRO (Interactive Dissambler) empecé a buscar las rutinas que estaban dentro del ejecutable.

Gracias, y espero ser parte de este segundo desafío.

Saludos.
La respuesta es NMR.

El archivo bicho.exe crea un archivo llamado NuMeRo.txt en el directorio c:\Windows. El archivo NuMeRo.txt es cambiado con cada ejecución del fichero bicho.exe (se agrega un número correspondiente a la línea).
Con cada ejecución el mensaje cambia. A la cuarta ejecución (línea número 4, valor 3) la pregunta cambia a “ya te he preguntado en que numero estaba pensando?”

La pista del cliente indica que “Quizás el número les digan quien lo hizo.”

Y dado que el valor común parece ser 3, la respuesta a la pregunta del cliente es NMR.

Hola

Listo, ya funciona…

Pues para empezar el archivo parece estar programado en Visual Basic, esta compilado para generarte diferentes mensajes en cada 12 o 13 segundos como:

1.- Esperas algo ?
2.- Parece que sí
3.- Aquí no hay nada
4.- Ya te he preguntado en que número estaba pensando ?
5.- Los programas no piensan

Se comienza a repetir el Esperas algo ? al terminar de pasar estas 5 palabras.

El archivo bicho.exe se ejecuta en memoria y crea un archivo con comienzo ~DFxxxx.tmp y con terminación .tmp en la carpeta %temp% con un peso de 16KBs, en este archivo con nombre aleatorio al parecer se guarda una base de datos generada por el archivo bicho.exe, este puede ser la que genera los mensajes de texto.

Al abrir el archivo bicho.exe presionas en el botón que dice “No hago nada” se te genera una palabra “Los programas no piensan”, y al presionar de nuevo se te cierra automáticamente el programa.

Y el programa no se si sea un error del programa, pero tiene una X debajo del botón que aparece al principio, solo agrandas la pantalla del programa y allí aparece.

———————————————————————————-

Sobre el autor de hallazgo.doc, pues el archivo bicho.exe no es dañino, sino que mientras permanezca ejecutado en memoria el archivo generara mensajes de texto como los anteriormente mencionados.

Esto fue todo lo que le saque al bicho.exe…

Salu2

hola!, descomple el archivo “BICHO” y me di cuenta que esta creado en visual basic y lo unico que hace es modificar un archivo de texto en el l direccion c//:archivosdeprograma/windows , donde escribe el parlamento de text oque tiene el archivo “BICHO” al ejercutarlo, el archivo “bicho” se cominica con el archivo de texto para no repetir la misma frase , cuando llega a las 6 o 7frase se repite la ultima y cambia de posicion en la pantalla de acuerdo a las cordenadas con pixeles del monitor.

un saludo.

El programa al momento de ejecutarse comprueba si esta creado el archivo NuMeRo.txt en el directorio C:\WINDOWS en caso de no estar lo crea y graba en su interior el numero cero.
Luego en las ejecuciones posteriores el programa comprueba si el archivo existe en caso de existir recoge el ultimo valor grabado y lo incrementa en una unidad dejando el nuevo valor debajo de los anteriores.

Como conclusion el programa solamente graba las veces que es ejecutado en el archivo NuMeRo.txt.

Es lo que tengo hasta el momento, si hay una forma de saber si voy bien encaminado se agradece un email

Saludos!

[...] etc. El premio es un licencia de por vida. Les dejo el link para los que quieran participar: ESET Latinoamérica - Laboratorio

Al parecer el archivo está elaborado por el grupo 29a , ¿esa es la pregunta a la que sé refieren?

El programa bicho.exe está empacado con UPX, este muestra una serie de mensajes al azar, tales como:

Otra vez por aquí?
Ya nos hemos visto antes?
Esperas algo?
Parece que sí
Aquí no hay nada
Ya te he preguntado en que numero estaba pensando?
Los programas no piensan
El número estará cifrado?
Aquí no está

Cuando se hace clic en el botón “No hago nada” puede mostrar abajo tambien los mismos mensajes anteriores.

Y en el directorio c:\Windows escribe un contador de acuerdo a las veces en que se presione el botón “No hago nada”, incrementándose de uno en uno el primer valor es 0 (cero)

El nombre del archivo contador es NuMeRo.txt

Si el programa no tiene acceso de administrador efectivamente no puede hacer nada pues da error y muestra el mensaje

“Algo no está bien en este sistema: “

Saludos a todos los lectores de este blog , a continuacion postare lo que pude averiguar de bicho.exe .

. Utiliza la libreria msvbvm60.dll lo que hace suponer que esta hecho en visual basic 6.0.
. Esta comprimido con UPX .
. Una vez ejecutado al presionar sobre el boton “No hago nada” genera el archivo “NuMeRo.txt” en C:\WINDOWS
( que dando C:\WINDOWS\NuMeRo.txt ) en el cual escribe un numero , el cual va incrementando cada vez que se presione el boton , quedando en la siguiente secuencia .

0 <— al ejecutar por 1 vez y presionar “No hago nada” , ce cierra el ejecutable
1 <— al ejecutar por 2 vez y presionar “No hago nada” si se presiona nuevamente “No hago nada” el ejecutable se cierra sin modificar el txt, es decir solo modifica el txt 1 vez por ejecucion a pesar que se presiona 2 vecez “No hago nada”

quedando finalmente el contenido del txt :

0
1
2
3
4
5
6
……

eso es todo lo que pude averiguar en cuanto bicho.exe , saludos a todos .

Aplicacion vb6. Tiene un componente de tipo “Timer” que cada 12 segundos muestra un mensaje en pantalla.
Tambien tiene un boton que al pulsarle lee el numero de lineas que tiene el fichero c:\windows\NuMeRo.txt y añade esa cantidad al final del fichero. A la vez que hace esto escribe un mensaje diferente dependiendo del numero de lineas que cuente. Si el fichero no existe (ocurre la primera vez que se ejecuta) lo crea.

Hasta ahi es donde llego

Procedimiento:
Obtenemos informacion del ejecutable (peinfo).
Esta comprimido con UPX (lo descomprimimos)
Volvemos a obtener informacion con peinfo. Es un fichero vb6.
Lo descompilamos (por ejemplo ida, vbreformer, etc) Y analizamos el codigo.

Hola aqui esta la resolucion al desafio numero 2.

El archivo esta compilado con visual basic, el creador del archivo tiene instalado visual basic en la siguiente localizacion D:\Archivos de programa\Microsoft Visual Studio\VB98\VB6.OLB

otra informacion acerca del creador del archivo @*\AE:\Mis Documentos\ESET\Muestras\desafio\2\bicho.vb

Una ves ejecutado muestra diferentes mensajes en pantalla y luego de presionar el boton se cierra, El archivo en cuestion crea el archivo NuMeRo.txt en C:\WINDOWS\ con el contenido de el numero “0″.

Aqui una lista de strings obtenidos de la muestra

Otra vez por aqu
Ya nos hemos visto antes ?
Ya te he preguntado en que n
mero estaba pensando ?
Los programas no piensan
1, 2, 3, 4, 5…
El numero es (…) tara cifrado ? Aqui no esta
Algo no est
bien en este sistema:
Esperas algo ?
no hay nada
Parece que s
Esperas algo?

El binario esta comprimido con upx

Hola, bueno creo que lo que hace el programa es crear un archivo de texto en el directirio C:/windows llamado NuMeRo.txt que por cada vez que se presiona el boton “No hago nada” agrega una nueva linea en el archivo, con un numero mayor al de la linea anterior, arrancando de cero la primer linea.
Lo que hice fue analizarlo, en esta parte me di cuenta de que estaba empaquetado con upx, asi que los desempaquete y revise los strings contendidos, en donde me tope con “c:\windows” y con “.txt” despues de eso revise esta carpeta y fui deduciendo el resto.
Saludos.

[...] Los detalles en el blog de ESET. [...]

el codigo del programa esta hecho en visual basic, corre en lenguaje dos, deberia de copiar o hacer algo en un disco “D”, usa librerias msvb tambien contiene kernel 32, no se especificamente que datos solicitan pero esto me llamo la atencion que supongo son codigos del programador para identificar el programa

4VS_VERSION_INFO½ïþ







DVarFileInfo$Translation °\
StringFileInfo8
0C0A04B0ôÜ
CommentsEste es un archivo ejecutable generado especialmente para el 2do Desafio de ESET. Este programa NO es dañino.(
CompanyNameCFB
Ü
FileDescriptionEste es un archivo ejecutable generado especialmente para el 2do Desafio de ESET. Este programa NO es dañino.,
ProductNameBicho4
FileVersion1.01.00018
ProductVersion1.01.0001,
InternalNamebicho<
OriginalFilenamebicho.exe¸™”™Å™°™Ò™à™ð™šššd€KERNEL32.DLLMSVBVM60.DLLLoadLibraryAGetProcAddressVirtualProtectVirtualAllocVirtualFreeExitProcess

Disculpe , Cada persona tiene derecho a fundamentar solo una teoria?. Es decir, ¿solo una respuesta?

El programa en si esta escrito en vb6 Código Nativo
Comprimido con utilidad UPX 9 KB Comprimido y 44 KB Descomprimido.

1ra Ejecución
La primera ejecución del programa muestra un botón con la leyenda no Hago nada.
Al hacer click en el crea un archivo en el directorio “Windows” llamado NuMeRo.txt el cual guarda el valor
” 0 ” al mismo y se cierra.

2da Ejecución
La segunda ejecución el programa al lee el valor ” 0 ” y al hacer click de nuevo en el botón informa en el label1
“Otra vez por aquí?” y crea un nuevo valor ” 1 “.

3ra Ejecución
La tercera ejecución al ejecutar nuevamente el programa lee de nuevo el archivo NuMeRo.txt que se aloja
En el directorio “Windows” y al leer el valor ” 1 ” y hacer click sobre el botón
Crea otro valor ” 2 ” informa en el label1 el mensaje “Ya nos hemos visto antes?”.

4ta Ejecución
4ta ejecución al leer el valor ” 2 ” y hacer click sobre el botón informa en el label1 “Ya te he preguntado en que número
Estaba pensando” crea el valor ” 3 ” en el archivo NuMeRo.txt.

5 o mas ejecuciones

Si el valor almacenado en NuMeRo.txt tiene 5 o mas líneas informa en el label1 “Los programas no piensan”.

Claro que si borramos el contenido del archivo de texto empezamos de nuevo.

Si al pasar 12 segundos informa con un msgbox “espera algo?”

Si hacemos click sobre el botón una vez que el programa informo del mensaje el mismo se cierra.

Saludos RDGMax

El autor es el group 29A y eso se bve en la macro del documento doc con los mensajes msg que se deben habilitar. se puede ver quien era ese grupo en google.

El creador es la 29A y esta en los macros del archivo de .doc

Bicho.exe cuando se ejecuta crea (o modifica si ya existe) un archivo llamado NuMeRo.txt, en XP y anteriores se crea en C:\Windows y en Vista lo crea en C:\Users\Ale\AppData\Local\VirtualStore\Windows.

Para detectar esto basta con hacer una búsqueda en los archivos de la PC, filtrando fechas.

Ejecutando el archivo:

La primera ejecución crea NuMeRo.txt y agrega la primer línea.
La segunda pregunta ¿Otra vez por aquí? y agrega la segunda línea.
La 3era pregunta Ya nos hemos visto antes? y agrega la tercer línea.
La 4ta pregunta Ya te he preguntado en que número estaba pensando? y agrega la cuarta línea.
La 5ta dice Los programas no piensan y agrega la quinta línea.

A partir de este punto el mensaje siempre es el mismo y se suman líneas de forma infinita, cada vez que se ejecuta el .exe. No hay límite, incluso agregando líneas de forma manual, se agrega una nueva con su correspondiente número. Además si en la primer ejecución el archivo NuMeRo.txt ya existe, simplemente se crea una línea.

Las preguntas o mensajes antes mencionados tienen una relación directa con las 5 primeras lineas, es decir que el programa muestra un mensaje según las lineas existentes en NuMeRo.txt.

Aclaración: la primer ejecución es igual a la no existencia de NuMeRo.txt, esto quiere decir también que creando el archivo manualmente y agregando lineas, una primer ejecución simplemente agregará otra línea y si está dentro de las 4 primeras generará su mensaje relacionado. A partir de la 5ta le mensaje es siempre igual.

A estas conclusiones se llegan modificando el archivo y observando su comportamiento durante las ejecusiones.

Bicho.exe también genera otras preguntas si se espera demasiado en cerrarlo o presionar su botón, estas preguntas no influyen en nada.

El grupo que creo el archivo se llama NMR, esto se determina por la postdata del cliente (Quizás el número les digan quien lo hizo
) y el nombre del archivo de texto. Tiene las letras NMR en mayúsuculas.

A donde tengo que enviar mi teoria??

Como se analizo la aplicación?

1º Se analizo el Archivo con RDG Packer Detector v0.6.6 para saber de que se trataba y se observo que esta comprimido con
UPX un gran compresor, utilizado para reducir el tamaño del archivo ya que este no es para proteger aplicaciones.

2º Luego se corrió la aplicación dentro del entorno de Análisis RDG SysTracer para ver que archivos creaba, accedía y modificaba.

Luego simplemente se observo los cambios realizados a medida que se presionaba el botón de la aplicación.

Y listo.

El programa bicho.exe está empacado con UPX, se puede desempacar utilizando la opción “UPX -d bicho.exe” desde la linea de comandos en la carpeta que tengamos guardados tanto upx.exe como el archivo bicho.exe.

El programa en si ha sido desarrollado por ESET en VB5 o VB6 especialmente para este desafio y puede hacerse un debug de ejecución desde cualquier programa debug tal como Ollydbg (utilizado para ingenieria inversa)

Este muestra una serie de mensajes al azar, tales como:

Otra vez por aquí?
Ya nos hemos visto antes?
Esperas algo?
Parece que sí
Aquí no hay nada
Ya te he preguntado en que numero estaba pensando?
Los programas no piensan
El número estará cifrado?
Aquí no está

Cuando se hace clic en el botón “No hago nada” puede mostrar abajo tambien los mismos mensajes anteriores.

Y en el directorio c:\Windows escribe un contador de acuerdo a las veces en que se presione el botón “No hago nada”, incrementándose de uno en uno el primer valor es 0 (cero)

El nombre del archivo contador es NuMeRo.txt

Si el programa no tiene acceso de administrador efectivamente no puede hacer nada pues da error y muestra el mensaje

“Algo no está bien en este sistema: “

Si rdgmax ya dio la respuesta correcta nuevas teorias no tienen sentido.. eso me parece a mi.desafio revelado

abrazo

[...] Octubre 14, 2008, 3:04 pm Archivado en: Tecnología | Etiquetas: Antivirus, Desafio, NOD32 En el blog de ESET Latinoamerica Laboratorio se está publicitando una licencia del Antivirus ESET NOD32, para el ganador del 2do Desafio, yo ya [...]

En realidad solo alcance a responder una de las preguntas.
El grupo autor del archivo sospechoso es 29A . Bueno en el documento existe una macro programada en VBA , la cual tiene un ultimo procedimiento, en el cual hay 3 lineas de codigo que tienen en modo comentario 3 mensajes cada uno con una letra.

2 - 9 - A , al investigar por la web , me di con la sorpresa que se trataba de un grupo dedicado a esto de los virus. Aunque segun leí no se de dedicaban a programar archivos maliciosos.

hasta alli llegó mi pequeño avance. Bueno la verdad q no sé como analizar el archivo ejecutable.

Pero mi alegria vá, por almenos haber estampado unas lineas por el blog. Gracias Cristian

Nah
HEX DEC
29A = 666

No se si estoy a tiempo pero..
El programa crea un archivo llamado numero.txt en la carpeta windows, que por cada vez que se apreta el boton de bicho.exe crea una nueva linea con el numero de veces que se apreto ese boton, el creador es 29A, me di cuenta porque estaba comentado en la macro del documento .doc

=( , lamentablemente, las bases no aclaraban que primero habia que explicar como habíamos llegado a dicha conclusión, por lo que yo estaba esperando a que mi comentario fuera aprobado para poder dar la explicación a mi respuesta si esta era correcta… debido a que soy estudiante, acabo de llegar a mi casa y veo que ya han contestado la pregunta, me pregunto si esto me hace automaticamente perdedor a pesar de haber respondido antes la incognita.

Mi explicación es sencilla, al abrir el archivo nos damos cuenta que no parece hacer nada, solo mostrar una serie de mensajes, al apretar el boton y despues cerrarse, pero notamos un detalle, despues de mostrar la variedad de mensajes que tiene programados, al volverlo a abrir solo se muestra el último mensaje… por lo que indica que en algún lado almacena que ya se ha abierto el programa alguna vez, al buscar la información encontramos que crea un archivo llamado número.txt y es ahí donde guarda dicho dato.

Al abrir el documento de Word, podemos ver que nos menciona si queremos habilitar las macros, lo que hace sospechar que tiene una macro que nos dará una pista, yo abrí dicho documento en Linux, en OpenOffice, y desde ahí revise las macros del documento, en la que hay un breve código en VB que lo unico que hace es usar una función para que, dado un número, se imprimiera el valor ASCII correspondiente, el resultado era imprimir los valores “2″, “9″ y “A” , al investigar en internet llegue a la conclusión de que es un grupo de hackers llamado así y fue como obtuve la respuesta.

Desemaquetadolo (con UPX) el ejecutable, y analizandolo con un editor Hexadecimal podemos encontrar en el ejecutable textos del tipo:
Ya nos hemos visto antes ?
Ya te he preguntado en que numero estaba pensando ?
Los programas no piensan 1, 2, 3, 4, 5
El numero es (…) tara cifrado ?
Algo no está bien en este sistema
Esperas algo ?

Si tomamos la pregunta que dice el numero es… vemos que hay 3 lugares. Poniendo botón derecho en el ejecutable y yendo a propiedades, luego a la pestaña Versión nos aparecerán los diferentes elementos de propiedades del ejecutable. El atributo Organización posee 3 lugares y dice: CFB que en decimal seria el siguiente número: 12 15 11.

Pero lo que mas me llamo la atención es que el documento .doc fue creado el “Lunes, 08 de Septiembre de 2008 10:04:00 p.m” (supuestamente guardado por un tal “Cristian”), el archivo Word según los datos del .ZIP fue modificado el 2008-10-03 a las 21:30 pero el ejecutable el 2008-10-10 a las 22:03.
Ha y Cristian reviso 23 veces el documento

En fin, a mi me late que este cliente nos quiere mantenernos divertidos.

Por otro lado ¿cual era la pregunta?

Saludos

Si el archivo comprimido contiene un .exe porsupuesto que se va analizar en executable.
Nose quien se va a preocupar por el .doc que aunque hubiese contenido codigo maligno no le hubiese afectado a nadie una macro en el 2008 jaja

y de ingenieria social no tiene nada!

jajaja muy bien pensado el desafio el 90% o mas realizo el analisis al .exe como yo y la historia estaba en el doc la verdad estubo bueno ya que siempre de una manera u otra se aprende algo, ingenieria social …
Bueno esperamos el 3er desafio pronto saludos