Saludos.

no puedo creer que aun no este resuelto.

el archivo eml como cuerpo tiene un archivo zip en base64 con password eset-latinoamerica

y que es lo que hace solo mirenlo

virtual.txt

… o …

O talvez es solo un e-mail sin información alguna, con contenido basura, que puede ser enviado por alguna aplicación o por el usuario.

PD: Cuando lo intenté decodificar con ROT47 saloeron cadenas como JMP, 56kb, =< C:\Windows, etc. por eso la pregunta
PD2: Lo de los PDF es justo porque estaban analizando los PDF, en el 4to ó 5to desafío justo habían analizado un Hack-Tool que te dejaba evitar que se ejecutara tu archivo en un PC Virtual.
Saludos.

Según mi análisis, el correo pudo haberse enviado automaticamente desde una pc infectada:

1. El email contiene un archivo zip adjunto. Para obtener el contenido es necesario decodificar el texto entre las etiquetas
Content-Type: multipart/alternative; boundary=”—-=_NextPart_001_01D6_01C9A3DC.668BF270″. A simple vista uno puede darse cuenta que hay que decodificar el texto que esta en base 64.

2. Al querer descomprimir el zip, este pide un password. El password es el mismo que el del desafio: eset-latinoamerica.

3. Dentro del zip hay un archivo de texto llamado virtual.txt que contiene informacion de la pc infectada:

– Lista de los procesos en ejecucion con sus respectivos modulos.
– Informacion sobre las conexiones TCP y UDP actuales
– Informacion del registro
– Informacion de las impresoras instaladas
– Informacion de los servicios instalados
etc,etc,etc

Segun la data en el archivo del texto el troyano que ha infectado la pc del usuario se llama ESET SysInspector (que es una herramienta gratuita de ESET – http://www.eset.com/download/sysinspector.php)

Esto, es una muestra de como un troyano podria mandar informacion sensible de nuestra pc al atacante.

Saludos
Miguel Febres

Las claves RUN que contienen:
“C:\Documents and Settings\All Users\Application Data\1432976623\vmware2.exe”
“C:\Documents and Settings\All Users\Application Data\vmware.exe”

estan cargando dos EXEs desde un lugar sumamente extraño y poco comun, fuera del alcance de cualquier usuario comun:

‘C:\Documents and Settings\All Users\Application Data’

Estos EXEs deben formar parte de la infección y se cargan al iniciar el sistema.

La clave RUN (para el que no la conoce) es:

“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”

y todo lo que contenga se ejecuta al inicia Windows.

Saludos,
Raúl

PD: fue divertido e instructivo para mi. Gracias!

Desarrollo:

Viendo el archivo de ‘System Status’ generado por “ESET SysInspector”, enviado por ‘el usuario’ y si ese archivo corresponde al equipo desde el cual envia el mail:

-Archivo host OK, asociaciones OK.
-Drivers están ok, son los de windows o no hay extraños visibles.
-No hay entradas extrañas en la clave RUN de Windows.
-No hay servicios corriendo que no correspondan a Windows. Los servicios parados son de Windows tambien.

-PERO…. el archivo svchost.exe en C:\windows\scvhost.exe con fecha de creacion 2008-03-30 no está en su ubicación correcta (hay uno en C:\windows\System32 y es correcto, del 2004) puede ser algo MALO.

-LUEGO basado en revisar fechas de creacion de archivos (file details) mas nuevas que 2006 aparecen otros SOSPECHOSOS:

c:\windows\system32\hgfs1.dll (VMware para filesystem, pero le falta la company name y demas!!, descarto que sea verdadero)
c:\archivos de programa\winrar\rarext.dll
c:\archivos de programa\winrar\winrar.exe

Todos creados 2008.03.30. desde las 12.16 a 12.41

Viendo los procesos, hijo de explorer.exe estan hgfs1.dll y el rarext.dll

Supongo que es el producto de haber instalado un WINRAR infectado de esos que ofrecen (baratitos) en Internet!!!!
ver: http://blogs.eset-la.com/laboratorio/2009/01/23/campana-masiva-sitios-instaladores-falsos-espanol/

Consejo: si estas trasnochado, no hagas descargas de Internet de ofertas increibles.

Saludos,
Raúl