1) Se lo que es un mutex (y de hecho hablando de Windows nos referimos a a un tipo de objeto de kernel, no a un algoritmo. Pero no responde mi pregunta… no se pueden enviar datos a un mutex, los objetos mutex son el equivalente a los locks de Unix y tienen solo dos operaciones, adquirir o liberar. Quizas te refieras a que hay un buffer de memoria compartida cuyo acceso esta serializado por el mutex?

3) Uno de los usos posibles de un mutex es crearlo con nombre (para que sea accesible desde otros procesos) y testear la presencia del mutex para saber si ya esta siendo ejecutada una instancia del mismo proceso. Aqui hay un ejemplo (ver el comentario, no el articulo que esta mal) http://www.codeproject.com/Messages/718238/Another-approach-using-mutexes.aspx

2 y 4) Comprendo, no me habia quedado claro leyendo el articulo.

1) Los mutex son algoritmos de exclusión mutua (comúnmente abreviada como mutex por mutual exclusión) se usan en programación concurrente para evitar el uso simultáneo de recursos comunes, como variables globales, por fragmentos de código conocidos como secciones críticas.
2) Tiene relación indirecta con el log de RAS, pero no fue incluido el código del keylogger por motivos de espacio.
3) Los mutex no se pueden usar de otra forma. Son la forma más común de implementar la sincronización de threads y de proteger datos compartidos cuando acontecen multitud de escrituras sobre esos datos compartidos.
4) Al inyectar código en Explorer.exe y hacer un Hook a la API CreateProcess que a su vez inyecte el código en todo proceso que se cree, para así controlar procesos lanzados por otros procesos.

Para aclarar tus dudas sobre los mutex, te recomiendo leer: http://msdn.microsoft.com/en-us/library/ms686927%28VS.85%29.aspx

Saludos
Juan Sacco
Analista de Malware

ESET NOD32 elimina el malware.

Cristian

1) Como es eso de “enviar datos” a un mutex? No sera parte de una URL lo que estamos viendo? Ademas hay otro string similar que dice “update”, eso parece ser un sistema de actualizacion del virus, seria interesante ver como funciona eso…

2) Como funciona exactamente el keylogger? Tiene relacion con el capturador de passwords de RAS?

En todo caso el codigo que se muestra aqui lo que esta haciendo es tomar dos punteros a variables locales en una funcion y verificando que no sean NULL – que por definicion es imposible, esto nos dice que el programador sabe mas bien poco de C.

3) Si realmente hay un mutex, mas probablemente sea para evitar que se ejecute mas de una instancia del virus en la misma maquina. De ser asi, estaria bien saber que nombre tiene el mutex, porque es una forma sencilla de detectar el virus en memoria.

Ademas queria agregar un comentario, el codigo de inyeccion que se muestra en verdad esta creando una instancia nueva de explorer.exe, no se esta inyectando a una instancia que ya exista. Eso me llama la atencion, puede ser que debajo de eso haya alguna llamada a WriteProcessMemory por ejemplo?

Un saludo.

Tal y como menciona Juan en el post, este malware es detectado y eliminado por ESET NOD32 como Win32/Spatet.A.

Cristian

Cada día desde aquí damos consejos para eso y también te recomendamos que utilices ESET NOD32 como antivirus.

Cristian