Segundo Desafío de ESET
Octubre 10, 2008 10:00 amEn esta oportunidad un cliente nos ha reportado un archivo (MD5: 9a70850bc5d57823031bf492d620fe65 - contraseña “eset-latinoamerica”) que dice ser dañino y una breve descripción del mismo en un documento. El cliente también nos hace una pregunta que deberemos responder.
Tal y como en el Primer Desafío, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. Nuevamente, el primero en responder correctamente se llevará una Licencia del Antivirus de ESET.
Notas: el código no contiene rutinas que puedan dañar el sistema del usuario. El usuario es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo.
Actualización 22:00 hs: el archivo no está dañado y se ejecuta. Si alguien lo ha descargado dañado quizás fuera un problema temporal del servidor o del archivo comprimido. Esto no forma parte del desafío por lo que por favor descarguen nuevamente el archivo.
Actualización 11-10-208 06:00 hs: recordar que todas las respuestas serán publicadas al momento de resolverse correctamente el desafío. Mientras esto no suceda, significa que el mismo no ha sido resuelto.
Actualización 14-10-208 02:00 hs: actualmente ha llegado una sola respuesta correcta pero el participante no ha mencionado como ha obtenido a la misma.
R.B., el grupo mencionado es el correcto pero debes indicarnos cómo has llegado a esa conclusión para conseguir el premio. Si llega la respuesta correcta y su justificación, durante la semana publicaremos todas las respuestas y mientras tanto hay tiempo para seguir participando.
Actualización 14-10-208 18:45 hs: inmediatamente despues de la actualización anterior han llegado dos respuestas correctas de las cuales se considera ganadora a la primera en arribar. La persona ganadora ya ha sido contactada y estará recibiendo su Licencia de ESET en breve. Luego, publicaremos los comentarios enviados y la respuesta correcta que, para aquellos que deseen seguir jugando, no tiene que ver con el archivo NuMeRo.txt. El desafìo ahora parece ser saber porqué hubo tantas respuestas incorrectas :).
Actualización 15-10-208 11:30 hs: ya se puede consultar la solución del Segundo Desafío.
Cristian
Promedio: 4.58
40 Comentarios en “Segundo Desafío de ESET”
Páginas: [2] 1 » Mostrar todos
Páginas: [2] 1 » Mostrar todos
13-4-2009 a las 11:13 am
Hola Jair,
Respecto a la cuarentena, puedes vaciar la cuarentena si así lo deseas (con botón derecho) o dejarlos allí. En cualquier caso no tendrás ningún problema.
En los casos en que el archivo indique que fue eliminado (pero no desinfectado) se debe a que ciertos tipos de amenazas, como los troyanos, no infectan archivos y es suficiente eliminar el archivo para anular la amenaza. No debes hacer nada más, el antivirus ya ha realizado la protección.
Cuando se indica que el archivo está comprimido o corrupto puede ser cualquiera de los casos. En ambos, no es posible saber si es una amenaza ya que el archivo no pudo ser analizado.
Sebastián
11-4-2009 a las 10:42 pm
mi computadira no tenia el antivirus actualizado y conecte mi mp3 y me salio un anuncio que desia gusano detectado no pudo ser desinfectado y se guardo en cuarentena y lo elimine de cuarentena quisera saber si no se deve eliminar de cuarentena, tambien cuando hice una revcision estandar detecto un virus y me salio no pudo ser desinfectado pero si eliminado, el virus salio de mi pc? , tambien tengo un archovo que aparece el la revison estadar como winap/uninstwa.exe archivo comprimido o comprometido corructo eso es virus?
15-10-2008 a las 5:51 pm
jajaja muy bien pensado el desafio el 90% o mas realizo el analisis al .exe como yo y la historia estaba en el doc la verdad estubo bueno ya que siempre de una manera u otra se aprende algo, ingenieria social …
Bueno esperamos el 3er desafio pronto saludos
15-10-2008 a las 3:19 pm
Hola Anonimo (lindo alias):
Justamente en tus palabras está la respuesta. Si se tiene un archivo .exe, ¿quién miraría el .doc?. Lo miraría quien sea desconfiado y sepa que puede ser engañado. Lo mirarían las personas que respondieron correctamente.
Con respecto a macros en 2008, solo debes leer Virus de macro (sí, otra vez).
Cristian
15-10-2008 a las 3:08 pm
Si el archivo comprimido contiene un .exe porsupuesto que se va analizar en executable.
Nose quien se va a preocupar por el .doc que aunque hubiese contenido codigo maligno no le hubiese afectado a nadie una macro en el 2008 jaja
y de ingenieria social no tiene nada!
15-10-2008 a las 1:42 pm
Efectivamente Anonimo:
Este desafìo era para probar que tanto se confía en las personas (en este caso un supuesto cliente) y como funciona la Ingeniería Social.
Ya se puede ver la solución del Segundo Desafío de ESET.
Cristian
15-10-2008 a las 6:04 am
Desemaquetadolo (con UPX) el ejecutable, y analizandolo con un editor Hexadecimal podemos encontrar en el ejecutable textos del tipo:
Ya nos hemos visto antes ?
Ya te he preguntado en que numero estaba pensando ?
Los programas no piensan 1, 2, 3, 4, 5
El numero es (…) tara cifrado ?
Algo no está bien en este sistema
Esperas algo ?
Si tomamos la pregunta que dice el numero es… vemos que hay 3 lugares. Poniendo botón derecho en el ejecutable y yendo a propiedades, luego a la pestaña Versión nos aparecerán los diferentes elementos de propiedades del ejecutable. El atributo Organización posee 3 lugares y dice: CFB que en decimal seria el siguiente número: 12 15 11.
Pero lo que mas me llamo la atención es que el documento .doc fue creado el “Lunes, 08 de Septiembre de 2008 10:04:00 p.m” (supuestamente guardado por un tal “Cristian”), el archivo Word según los datos del .ZIP fue modificado el 2008-10-03 a las 21:30 pero el ejecutable el 2008-10-10 a las 22:03.
Ha y Cristian reviso 23 veces el documento
En fin, a mi me late que este cliente nos quiere mantenernos divertidos.
Por otro lado ¿cual era la pregunta?
Saludos
14-10-2008 a las 9:35 pm
=( , lamentablemente, las bases no aclaraban que primero habia que explicar como habíamos llegado a dicha conclusión, por lo que yo estaba esperando a que mi comentario fuera aprobado para poder dar la explicación a mi respuesta si esta era correcta…
debido a que soy estudiante, acabo de llegar a mi casa y veo que ya han contestado la pregunta, me pregunto si esto me hace automaticamente perdedor a pesar de haber respondido antes la incognita.
Mi explicación es sencilla, al abrir el archivo nos damos cuenta que no parece hacer nada, solo mostrar una serie de mensajes, al apretar el boton y despues cerrarse, pero notamos un detalle, despues de mostrar la variedad de mensajes que tiene programados, al volverlo a abrir solo se muestra el último mensaje… por lo que indica que en algún lado almacena que ya se ha abierto el programa alguna vez, al buscar la información encontramos que crea un archivo llamado número.txt y es ahí donde guarda dicho dato.
Al abrir el documento de Word, podemos ver que nos menciona si queremos habilitar las macros, lo que hace sospechar que tiene una macro que nos dará una pista, yo abrí dicho documento en Linux, en OpenOffice, y desde ahí revise las macros del documento, en la que hay un breve código en VB que lo unico que hace es usar una función para que, dado un número, se imprimiera el valor ASCII correspondiente, el resultado era imprimir los valores “2″, “9″ y “A” , al investigar en internet llegue a la conclusión de que es un grupo de hackers llamado así y fue como obtuve la respuesta.
14-10-2008 a las 9:22 pm
No se si estoy a tiempo pero..
El programa crea un archivo llamado numero.txt en la carpeta windows, que por cada vez que se apreta el boton de bicho.exe crea una nueva linea con el numero de veces que se apreto ese boton, el creador es 29A, me di cuenta porque estaba comentado en la macro del documento .doc
14-10-2008 a las 7:36 pm
Nah
HEX DEC
29A = 666
14-10-2008 a las 6:56 pm
En realidad solo alcance a responder una de las preguntas.
El grupo autor del archivo sospechoso es 29A . Bueno en el documento existe una macro programada en VBA , la cual tiene un ultimo procedimiento, en el cual hay 3 lineas de codigo que tienen en modo comentario 3 mensajes cada uno con una letra.
2 - 9 - A , al investigar por la web , me di con la sorpresa que se trataba de un grupo dedicado a esto de los virus. Aunque segun leí no se de dedicaban a programar archivos maliciosos.
hasta alli llegó mi pequeño avance. Bueno la verdad q no sé como analizar el archivo ejecutable.
Pero mi alegria vá, por almenos haber estampado unas lineas por el blog. Gracias Cristian
14-10-2008 a las 6:04 pm
[...] Octubre 14, 2008, 3:04 pm Archivado en: Tecnología | Etiquetas: Antivirus, Desafio, NOD32 En el blog de ESET Latinoamerica Laboratorio se está publicitando una licencia del Antivirus ESET NOD32, para el ganador del 2do Desafio, yo ya [...]
14-10-2008 a las 4:54 pm
Si rdgmax ya dio la respuesta correcta nuevas teorias no tienen sentido.. eso me parece a mi.desafio revelado
abrazo
14-10-2008 a las 4:14 pm
El programa bicho.exe está empacado con UPX, se puede desempacar utilizando la opción “UPX -d bicho.exe” desde la linea de comandos en la carpeta que tengamos guardados tanto upx.exe como el archivo bicho.exe.
El programa en si ha sido desarrollado por ESET en VB5 o VB6 especialmente para este desafio y puede hacerse un debug de ejecución desde cualquier programa debug tal como Ollydbg (utilizado para ingenieria inversa)
Este muestra una serie de mensajes al azar, tales como:
Otra vez por aquí?
Ya nos hemos visto antes?
Esperas algo?
Parece que sí
Aquí no hay nada
Ya te he preguntado en que numero estaba pensando?
Los programas no piensan
El número estará cifrado?
Aquí no está
Cuando se hace clic en el botón “No hago nada” puede mostrar abajo tambien los mismos mensajes anteriores.
Y en el directorio c:\Windows escribe un contador de acuerdo a las veces en que se presione el botón “No hago nada”, incrementándose de uno en uno el primer valor es 0 (cero)
El nombre del archivo contador es NuMeRo.txt
Si el programa no tiene acceso de administrador efectivamente no puede hacer nada pues da error y muestra el mensaje
“Algo no está bien en este sistema: “
14-10-2008 a las 3:58 pm
Hola DemianGod:
Debes responder aquí en los comentarios. Todos los comentarios serán publicados en esta semana cuando se conozca al ganador.
Cristian
14-10-2008 a las 3:37 pm
Como se analizo la aplicación?
1º Se analizo el Archivo con RDG Packer Detector v0.6.6 para saber de que se trataba y se observo que esta comprimido con
UPX un gran compresor, utilizado para reducir el tamaño del archivo ya que este no es para proteger aplicaciones.
2º Luego se corrió la aplicación dentro del entorno de Análisis RDG SysTracer para ver que archivos creaba, accedía y modificaba.
Luego simplemente se observo los cambios realizados a medida que se presionaba el botón de la aplicación.
Y listo.
14-10-2008 a las 3:08 pm
A donde tengo que enviar mi teoria??
14-10-2008 a las 3:16 am
Bicho.exe cuando se ejecuta crea (o modifica si ya existe) un archivo llamado NuMeRo.txt, en XP y anteriores se crea en C:\Windows y en Vista lo crea en C:\Users\Ale\AppData\Local\VirtualStore\Windows.
Para detectar esto basta con hacer una búsqueda en los archivos de la PC, filtrando fechas.
Ejecutando el archivo:
La primera ejecución crea NuMeRo.txt y agrega la primer línea.
La segunda pregunta ¿Otra vez por aquí? y agrega la segunda línea.
La 3era pregunta Ya nos hemos visto antes? y agrega la tercer línea.
La 4ta pregunta Ya te he preguntado en que número estaba pensando? y agrega la cuarta línea.
La 5ta dice Los programas no piensan y agrega la quinta línea.
A partir de este punto el mensaje siempre es el mismo y se suman líneas de forma infinita, cada vez que se ejecuta el .exe. No hay límite, incluso agregando líneas de forma manual, se agrega una nueva con su correspondiente número. Además si en la primer ejecución el archivo NuMeRo.txt ya existe, simplemente se crea una línea.
Las preguntas o mensajes antes mencionados tienen una relación directa con las 5 primeras lineas, es decir que el programa muestra un mensaje según las lineas existentes en NuMeRo.txt.
Aclaración: la primer ejecución es igual a la no existencia de NuMeRo.txt, esto quiere decir también que creando el archivo manualmente y agregando lineas, una primer ejecución simplemente agregará otra línea y si está dentro de las 4 primeras generará su mensaje relacionado. A partir de la 5ta le mensaje es siempre igual.
A estas conclusiones se llegan modificando el archivo y observando su comportamiento durante las ejecusiones.
Bicho.exe también genera otras preguntas si se espera demasiado en cerrarlo o presionar su botón, estas preguntas no influyen en nada.
El grupo que creo el archivo se llama NMR, esto se determina por la postdata del cliente (Quizás el número les digan quien lo hizo
) y el nombre del archivo de texto. Tiene las letras NMR en mayúsuculas.
14-10-2008 a las 2:12 am
El creador es la 29A y esta en los macros del archivo de .doc
14-10-2008 a las 2:05 am
El autor es el group 29A y eso se bve en la macro del documento doc con los mensajes msg que se deben habilitar. se puede ver quien era ese grupo en google.