ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Nombre de la amenaza: Gusano, se duplica y crea nuevos archivos.


Enviado por   •  25 de Junio de 2017  •  Tarea  •  1.273 Palabras (6 Páginas)  •  164 Visitas

Página 1 de 6

LABORATORIO DE RYDA

Malware GUJIOECEH.EXE

Nombre de la amenaza:  Gusano, se duplica y crea nuevos archivos.

Archivos generados y sus rutas:

  • C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\xuihiat.exe
  • C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\lab 11\GUJIOECEH.EXE
  • C:\Documents and Settings\Administrador\Porn.exe
  • C:\Documents and Settings\Administrador\Sexy
  • C:\Documents and Settings\Administrador\Passwords
  • C:\Documents and Settings\Administrador\Secret

Servicios generados: Xuihiat.exe

LLaves de registro creadas: 

  • HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate: 0x00000001
  • HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_PROCEXP152\0000\Control\ActiveService: "PROCEXP152"
  • HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PROCEXP152\0000\Control\ActiveService: "PROCEXP152"
  • HKU\S-1-5-21-1606980848-1417001333-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Nqzvavfgenqbe\Rfpevgbevb\Gnern 4\yno 11\thwvbrpru.rkr:  03 00 00 00 06 00 00 00 E0 EA 95 C9 D4 2C D2 01
  • HKU\S-1-5-21-1606980848-1417001333-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\xuihiat: "C:\Documents and Settings\Administrador\xuihiat.exe /o"

Sintomas del equipo infectado:

Se muestra la carpeta de documentos y se crean cuatro archivos llamados: sexy, porn, password y secret.

Bloqueos: Windows Update.

Metodo de ejecución: Manual

Solución: Desactivar el bloqueo de Windows Update, eliminar la llave de registro, hacer que se vea el archivo cambiando los atributos, y dirigirnos donde se encuentra para eliminar.

Herramientas:

  • Autoruns
  • LastActivityView
  • CFF Explorer
  • Dial-a-fix
  • Virus total

[pic 1]

[pic 2]

[pic 3]

[pic 4]

[pic 5][pic 6][pic 7][pic 8]

Malware secexmvu.exe

  • Nombre:                         secexmvu.exe
  • Tipo de Archivo:                Potable Executable 32
  • Información de archivo:        Ninguna
  • Tamaño de archivo:                521.00 KB
  • Fecha de Creación:                Thursday 20 October 2016, 20.30.33
  • Fecha de modificación:        Friday 04 October 2013, 12.18.32
  • Fecha de acceso:                Monday 24 October 2016, 10.49.07
  • MD5:                                D2EDE21E2AA0EB527E3B6B8C52E15810
  • SHA:                                49CE6B32612E2E29E8700453422BCE03EE3397BE
  • Comentarios:                        Ninguna
  • Nombre de compañía:        Ninguna
  • Descripción de archivo:        Ninguna
  • Copyright:                        Ninguna
  • Nombre de Producto:                Ninguna
  • Versión de Producto:                Ninguna
  • Nombre Interno:                Ninguna
  • Archivos adicionales con el mismo MD5/SHA: Ninguna

Nombre de la amenaza: Troyano, busca entre el historial en internet explorer.

Archivos generados y sus rutas:

  • C:\Documents and Settings\Administrador\Configuración local\Temp\Perflib_Perfdata_b4.dat
  • C:\WINDOWS\Prefetch\SECEXMVU.EXE-0AAD1EE7.pf

Servicios generados: Ninguno

Llaves de registro: Ninguno

Síntomas del equipo: Ninguno

Bloqueos de Windows: Ninguno

Solución: Ninguna

Tipo de desinfección: Ninguna

Herraminetas:

  • Autoruns
  • LastActivityView
  • CFF Explorer
  • VirusTotal

[pic 9]

[pic 10]

Analizado con Virtustotal…[pic 11]

[pic 12][pic 13][pic 14][pic 15]

Malware tjutched.exe

  • Nombre:                         tjutched.exe
  • Tipo de Archivo:                Portable Executable 32
  • Información de archivo:        UPX 2.90 [LZMA] (Delphi stub) -> Markus Oberhumer, Laszlo Molnar & John Reise
  • Tamaño de archivo:                50.50 KB
  • Fecha de Creación:                Thursday 20 October 2016, 20.30.33
  • Fecha de modificación:        Friday 17 September 2010, 20.31.14
  • Fecha de acceso:                Monday 24 October 2016, 11.52.58
  • MD5:                                411386C373C95B12BFFB192BA22ADB3E
  • SHA:                                871EEDC2FB32F10D0B8882E77069EBC183D2E97E
  • Comentarios:                        yspAe78g74Z75u28
  • Nombre de compañía:        ryjXnpr91X79C27klRAL35vh
  • Descripción de archivo:        A44l6gom44
  • Copyright:                        nGtUW39G17b39E7bY
  • Nombre de Producto:                x50N33o28
  • Versión de Producto:                61.51.0035
  • Nombre Interno:                Trd36qR

Nombre de amenaza: Gusano, se propaga en el equipo.

Archivos generados y sus rutas:

...

Descargar como (para miembros actualizados) txt (6 Kb) pdf (2 Mb) docx (1 Mb)
Leer 5 páginas más »
Disponible sólo en Clubensayos.com