Comentarios en: Cuarto Desafío de ESET http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/ Laboratorio de Malware de ESET Latinoamérica Fri, 10 Feb 2012 09:03:02 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Por: Emiliano http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-2/#comment-1386 Emiliano Tue, 23 Dec 2008 10:20:08 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1386 El ProducID lo usa para saber si se encuentra en un entorno protegido, y no en una maquina virtual como dije antes. Verifica si el producID corresponde a Anubis, Joe Box o CWSandobox. El ProducID lo usa para saber si se encuentra en un entorno protegido, y no en una maquina virtual como dije antes.
Verifica si el producID corresponde a Anubis, Joe Box o CWSandobox.

]]> Por: Cristian Borghello http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-1/#comment-1381 Cristian Borghello Mon, 22 Dec 2008 20:06:23 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1381 Hola Luis: Tal y como decía en el post, si un antivirus detecta esta aplicación como dañina, se trata de un falso positivo. Cristian Hola Luis:

Tal y como decía en el post, si un antivirus detecta esta aplicación como dañina, se trata de un falso positivo.

Cristian

]]> Por: Emiliano http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-2/#comment-1378 Emiliano Mon, 22 Dec 2008 13:54:11 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1378 Ah me olvidaba, la aplicacion esta empaquetada con MEW 1.2, la desempaquete, y luego revise sus Strings con ProccesExplorer. Fue ahi donde vi las entradas del registro que revisaba y el nombre de las dll's. Ah me olvidaba, la aplicacion esta empaquetada con MEW 1.2, la desempaquete, y luego revise sus Strings con ProccesExplorer. Fue ahi donde vi las entradas del registro que revisaba y el nombre de las dll’s.

]]> Por: Emiliano http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-2/#comment-1377 Emiliano Mon, 22 Dec 2008 13:41:25 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1377 Lo que hace la aplicacion es descubrir si se esta ejecutando en un entorno virtualizado o protegido, para ello aplica las siguientes tecnicas: * Se fija el nombre del HD en el registro para saber si se esta ejecutando en una maquina virtual por ejemplo si contiene la cadena VMWARE significa que se esta ejecutando sobre VMWARE Workstation, VBOX para VirtualBox... * Por medio de la dll sbiedll.dll para saber si se esta ejecutando en sandboxie (entorno protegido). * Supongo que detecta si se esta debugeando mediante la dll dbghelp.dll (No lo probe). * Por medio del ProductID, por ejemplo si la cadena contiene 55274 significa que se esta ejecutando en VirtualBox. Si se esta ejecutando en un entorno virtualizado, o protegido entonces muestra un boton con la leyenda "..." al hacer click sobre el mismo, pide que se inserte un disquete, el cual nunca lee, pero al presionar dos veces sobre reintentar y luego sobre la imagen de burns se muestra un mensaje de la forma "envía el codigo #d4xxx#" donde xxx son numeros aleatorios. Lo que hace la aplicacion es descubrir si se esta ejecutando en un entorno virtualizado o protegido, para ello aplica las siguientes tecnicas:
* Se fija el nombre del HD en el registro para saber si se esta ejecutando en una maquina virtual por ejemplo si contiene la cadena VMWARE significa que se esta ejecutando sobre VMWARE Workstation, VBOX para VirtualBox…
* Por medio de la dll sbiedll.dll para saber si se esta ejecutando en sandboxie (entorno protegido).
* Supongo que detecta si se esta debugeando mediante la dll dbghelp.dll (No lo probe).
* Por medio del ProductID, por ejemplo si la cadena contiene 55274 significa que se esta ejecutando en VirtualBox.

Si se esta ejecutando en un entorno virtualizado, o protegido entonces muestra un boton con la leyenda “…” al hacer click sobre el mismo, pide que se inserte un disquete, el cual nunca lee, pero al presionar dos veces sobre reintentar y luego sobre la imagen de burns se muestra un mensaje de la forma “envía el codigo #d4xxx#” donde xxx son numeros aleatorios.

]]> Por: federico http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-2/#comment-1376 federico Mon, 22 Dec 2008 02:31:33 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1376 Ejecute el programa y luego de un par de pruebas me di cuenta que no funciona en la pc fisica y solo muestra la imagen de burns en "posicion interesante" :). Al ejcutarlo en vmware y luego de unos segundos, aparece un boton y al presionarlo se da un mensaje (uno de ellos aborta el prog). En el teecer intento se da otro mensje distinto que dice -informacion copiada - envía el codigo #d4323#. Luego de unas pruebas el d4 es cte pero los otros nros con aleatorios. Entonces el programa dice copiar info a la unidad A pero en realida no lo hace. El programa esta empaquetado con MEW y muchos AV lo detectan con ese nombre (supongo que son los falsos que mencionaban en el post original). No lo desempaquete pero con programa processexplorer se puede ver que se leen algunas claves en la registry que son las que detectan las maq. virtuales y otrs ambietens de test y por eso el programa solo funciona en esos ambientes y no en la pc real. -federico- Ejecute el programa y luego de un par de pruebas me di cuenta que no funciona en la pc fisica y solo muestra la imagen de burns en “posicion interesante” :) . Al ejcutarlo en vmware y luego de unos segundos, aparece un boton y al presionarlo se da un mensaje (uno de ellos aborta el prog). En el teecer intento se da otro mensje distinto que dice -informacion copiada – envía el codigo #d4323#. Luego de unas pruebas el d4 es cte pero los otros nros con aleatorios. Entonces el programa dice copiar info a la unidad A pero en realida no lo hace. El programa esta empaquetado con MEW y muchos AV lo detectan con ese nombre (supongo que son los falsos que mencionaban en el post original). No lo desempaquete pero con programa processexplorer se puede ver que se leen algunas claves en la registry que son las que detectan las maq. virtuales y otrs ambietens de test y por eso el programa solo funciona en esos ambientes y no en la pc real.

-federico-

]]> Por: Cristian Borghello http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-2/#comment-1372 Cristian Borghello Mon, 22 Dec 2008 00:00:41 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1372 Hola Andrés: Efectivamente el mensaje final del programa es el dado por tí, pero debes describir el proceso por el cual has llegado allí y bajo qué condiciones. Cristian Hola Andrés:

Efectivamente el mensaje final del programa es el dado por tí, pero debes describir el proceso por el cual has llegado allí y bajo qué condiciones.

Cristian

]]> Por: Andrés Arellano http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-2/#comment-1345 Andrés Arellano Wed, 17 Dec 2008 18:46:00 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1345 Naturalmente es un programa que roba información del cliente. Naturalmente es un programa que roba información del cliente.

]]> Por: Andrés Arellano http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-2/#comment-1344 Andrés Arellano Wed, 17 Dec 2008 18:38:42 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1344 Al ejecutar navidad.exe aparece una ventana mostrando un personaje de la Serie Los Simpson. - En la parte inferior izquierda muestra un pequeño botón que pasa desapercibido el cual al hacerle click nos pide ingresar un diskette en la unidad A: - Ingresé un diskette en la unidad A: - Despues de unos intentos al darle omitir me salío una ventana: Información Copiada Se ha terminado de copiar la información - Envía el código: #d4228# Saludos. Al ejecutar navidad.exe aparece una ventana mostrando un personaje de la Serie Los Simpson.
- En la parte inferior izquierda muestra un pequeño botón que pasa desapercibido el cual al hacerle click nos pide ingresar un diskette en la unidad A:
- Ingresé un diskette en la unidad A:
- Despues de unos intentos al darle omitir me salío una ventana:

Información Copiada
Se ha terminado de copiar la información – Envía el código: #d4228#

Saludos.

]]> Por: Luis http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-1/#comment-1340 Luis Wed, 17 Dec 2008 15:53:30 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1340 Hola Yo tengo el kaspersky y tambien me lo detecta como amenaza un password-protected.exe Asi que creo que puede ser un keylogger con funcion de troyano para robar informacion como contraseñas y demas Saludos Hola

Yo tengo el kaspersky y tambien me lo detecta como amenaza un password-protected.exe
Asi que creo que puede ser un keylogger con funcion de troyano para robar informacion como contraseñas y demas

Saludos

]]> Por: Cristian Borghello http://blogs.eset-la.com/laboratorio/2008/12/16/cuarto-desafio-eset/comment-page-1/#comment-1338 Cristian Borghello Wed, 17 Dec 2008 12:27:54 +0000 http://blogs.eset-la.com/laboratorio/?p=1777#comment-1338 Hola Martin: Efectivamente, ESET siempre ha trabajado con webmasters para que los mismos tengan la posibilidad de hacer llegar licencias a sus usuarios en forma legal y como ellos crean convenientes. El caso de Tecnoseguridad sólo es uno más de ellos y esas licencias no tienen que ver con los presentes desafíos del Laboratorio. Cristian Hola Martin:

Efectivamente, ESET siempre ha trabajado con webmasters para que los mismos tengan la posibilidad de hacer llegar licencias a sus usuarios en forma legal y como ellos crean convenientes. El caso de Tecnoseguridad sólo es uno más de ellos y esas licencias no tienen que ver con los presentes desafíos del Laboratorio.

Cristian

]]>