Comentarios en: Segundo Desafío de ESET

Por: Sebastian Bortnik

Sebastian Bortnik — Mon, 13 Apr 2009 14:13:59 +0000

Hola Jair,

Respecto a la cuarentena, puedes vaciar la cuarentena si así lo deseas (con botón derecho) o dejarlos allí. En cualquier caso no tendrás ningún problema.

En los casos en que el archivo indique que fue eliminado (pero no desinfectado) se debe a que ciertos tipos de amenazas, como los troyanos, no infectan archivos y es suficiente eliminar el archivo para anular la amenaza. No debes hacer nada más, el antivirus ya ha realizado la protección.

Cuando se indica que el archivo está comprimido o corrupto puede ser cualquiera de los casos. En ambos, no es posible saber si es una amenaza ya que el archivo no pudo ser analizado.

Sebastián

Por: Jair Eder

Jair Eder — Sun, 12 Apr 2009 01:42:21 +0000

mi computadira no tenia el antivirus actualizado y conecte mi mp3 y me salio un anuncio que desia gusano detectado no pudo ser desinfectado y se guardo en cuarentena y lo elimine de cuarentena quisera saber si no se deve eliminar de cuarentena, tambien cuando hice una revcision estandar detecto un virus y me salio no pudo ser desinfectado pero si eliminado, el virus salio de mi pc? , tambien tengo un archovo que aparece el la revison estadar como winap/uninstwa.exe archivo comprimido o comprometido corructo eso es virus?

Por: Jorge

Jorge — Wed, 15 Oct 2008 20:51:46 +0000

jajaja muy bien pensado el desafio el 90% o mas realizo el analisis al .exe como yo y la historia estaba en el doc la verdad estubo bueno ya que siempre de una manera u otra se aprende algo, ingenieria social …
Bueno esperamos el 3er desafio pronto saludos

Por: Cristian Borghello

Cristian Borghello — Wed, 15 Oct 2008 18:19:40 +0000

Hola Anonimo (lindo alias):

Justamente en tus palabras está la respuesta. Si se tiene un archivo .exe, ¿quién miraría el .doc?. Lo miraría quien sea desconfiado y sepa que puede ser engañado. Lo mirarían las personas que respondieron correctamente.
Con respecto a macros en 2008, solo debes leer Virus de macro (sí, otra vez).

Cristian

Por: Anonimo

Anonimo — Wed, 15 Oct 2008 18:08:28 +0000

Si el archivo comprimido contiene un .exe porsupuesto que se va analizar en executable.
Nose quien se va a preocupar por el .doc que aunque hubiese contenido codigo maligno no le hubiese afectado a nadie una macro en el 2008 jaja

y de ingenieria social no tiene nada!

Por: Cristian Borghello

Cristian Borghello — Wed, 15 Oct 2008 16:42:29 +0000

Efectivamente Anonimo:

Este desafìo era para probar que tanto se confía en las personas (en este caso un supuesto cliente) y como funciona la Ingeniería Social.
Ya se puede ver la solución del Segundo Desafío de ESET.

Cristian

Por: Anonimo

Anonimo — Wed, 15 Oct 2008 09:04:02 +0000

Desemaquetadolo (con UPX) el ejecutable, y analizandolo con un editor Hexadecimal podemos encontrar en el ejecutable textos del tipo:
Ya nos hemos visto antes ?
Ya te he preguntado en que numero estaba pensando ?
Los programas no piensan 1, 2, 3, 4, 5
El numero es (…) tara cifrado ?
Algo no está bien en este sistema
Esperas algo ?

Si tomamos la pregunta que dice el numero es… vemos que hay 3 lugares. Poniendo botón derecho en el ejecutable y yendo a propiedades, luego a la pestaña Versión nos aparecerán los diferentes elementos de propiedades del ejecutable. El atributo Organización posee 3 lugares y dice: CFB que en decimal seria el siguiente número: 12 15 11.

Pero lo que mas me llamo la atención es que el documento .doc fue creado el “Lunes, 08 de Septiembre de 2008 10:04:00 p.m” (supuestamente guardado por un tal “Cristian”), el archivo Word según los datos del .ZIP fue modificado el 2008-10-03 a las 21:30 pero el ejecutable el 2008-10-10 a las 22:03.
Ha y Cristian reviso 23 veces el documento

En fin, a mi me late que este cliente nos quiere mantenernos divertidos.

Por otro lado ¿cual era la pregunta?

Saludos

Por: Roberto Briones

Roberto Briones — Wed, 15 Oct 2008 00:35:23 +0000

=( , lamentablemente, las bases no aclaraban que primero habia que explicar como habíamos llegado a dicha conclusión, por lo que yo estaba esperando a que mi comentario fuera aprobado para poder dar la explicación a mi respuesta si esta era correcta… debido a que soy estudiante, acabo de llegar a mi casa y veo que ya han contestado la pregunta, me pregunto si esto me hace automaticamente perdedor a pesar de haber respondido antes la incognita.

Mi explicación es sencilla, al abrir el archivo nos damos cuenta que no parece hacer nada, solo mostrar una serie de mensajes, al apretar el boton y despues cerrarse, pero notamos un detalle, despues de mostrar la variedad de mensajes que tiene programados, al volverlo a abrir solo se muestra el último mensaje… por lo que indica que en algún lado almacena que ya se ha abierto el programa alguna vez, al buscar la información encontramos que crea un archivo llamado número.txt y es ahí donde guarda dicho dato.

Al abrir el documento de Word, podemos ver que nos menciona si queremos habilitar las macros, lo que hace sospechar que tiene una macro que nos dará una pista, yo abrí dicho documento en Linux, en OpenOffice, y desde ahí revise las macros del documento, en la que hay un breve código en VB que lo unico que hace es usar una función para que, dado un número, se imprimiera el valor ASCII correspondiente, el resultado era imprimir los valores “2″, “9″ y “A” , al investigar en internet llegue a la conclusión de que es un grupo de hackers llamado así y fue como obtuve la respuesta.

Por: Neri

Neri — Wed, 15 Oct 2008 00:22:31 +0000

No se si estoy a tiempo pero..
El programa crea un archivo llamado numero.txt en la carpeta windows, que por cada vez que se apreta el boton de bicho.exe crea una nueva linea con el numero de veces que se apreto ese boton, el creador es 29A, me di cuenta porque estaba comentado en la macro del documento .doc

Por: RDGMax

RDGMax — Tue, 14 Oct 2008 22:36:25 +0000

Nah
HEX DEC
29A = 666