Nombre de la amenaza: Gusano, se duplica y crea nuevos archivos.
Enviado por kareiina • 25 de Junio de 2017 • Tarea • 1.273 Palabras (6 Páginas) • 163 Visitas
LABORATORIO DE RYDA
Malware GUJIOECEH.EXE
Nombre de la amenaza: Gusano, se duplica y crea nuevos archivos.
Archivos generados y sus rutas:
- C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\xuihiat.exe
- C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\lab 11\GUJIOECEH.EXE
- C:\Documents and Settings\Administrador\Porn.exe
- C:\Documents and Settings\Administrador\Sexy
- C:\Documents and Settings\Administrador\Passwords
- C:\Documents and Settings\Administrador\Secret
Servicios generados: Xuihiat.exe
LLaves de registro creadas:
- HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate: 0x00000001
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_PROCEXP152\0000\Control\ActiveService: "PROCEXP152"
- HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PROCEXP152\0000\Control\ActiveService: "PROCEXP152"
- HKU\S-1-5-21-1606980848-1417001333-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Nqzvavfgenqbe\Rfpevgbevb\Gnern 4\yno 11\thwvbrpru.rkr: 03 00 00 00 06 00 00 00 E0 EA 95 C9 D4 2C D2 01
- HKU\S-1-5-21-1606980848-1417001333-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\xuihiat: "C:\Documents and Settings\Administrador\xuihiat.exe /o"
Sintomas del equipo infectado:
Se muestra la carpeta de documentos y se crean cuatro archivos llamados: sexy, porn, password y secret.
Bloqueos: Windows Update.
Metodo de ejecución: Manual
Solución: Desactivar el bloqueo de Windows Update, eliminar la llave de registro, hacer que se vea el archivo cambiando los atributos, y dirigirnos donde se encuentra para eliminar.
Herramientas:
- Autoruns
- LastActivityView
- CFF Explorer
- Dial-a-fix
- Virus total
[pic 1]
[pic 2]
[pic 3]
[pic 4]
[pic 5][pic 6][pic 7][pic 8]
Malware secexmvu.exe
- Nombre: secexmvu.exe
- Tipo de Archivo: Potable Executable 32
- Información de archivo: Ninguna
- Tamaño de archivo: 521.00 KB
- Fecha de Creación: Thursday 20 October 2016, 20.30.33
- Fecha de modificación: Friday 04 October 2013, 12.18.32
- Fecha de acceso: Monday 24 October 2016, 10.49.07
- MD5: D2EDE21E2AA0EB527E3B6B8C52E15810
- SHA: 49CE6B32612E2E29E8700453422BCE03EE3397BE
- Comentarios: Ninguna
- Nombre de compañía: Ninguna
- Descripción de archivo: Ninguna
- Copyright: Ninguna
- Nombre de Producto: Ninguna
- Versión de Producto: Ninguna
- Nombre Interno: Ninguna
- Archivos adicionales con el mismo MD5/SHA: Ninguna
Nombre de la amenaza: Troyano, busca entre el historial en internet explorer.
Archivos generados y sus rutas:
- C:\Documents and Settings\Administrador\Configuración local\Temp\Perflib_Perfdata_b4.dat
- C:\WINDOWS\Prefetch\SECEXMVU.EXE-0AAD1EE7.pf
Servicios generados: Ninguno
Llaves de registro: Ninguno
Síntomas del equipo: Ninguno
Bloqueos de Windows: Ninguno
Solución: Ninguna
Tipo de desinfección: Ninguna
Herraminetas:
- Autoruns
- LastActivityView
- CFF Explorer
- VirusTotal
[pic 9]
[pic 10]
Analizado con Virtustotal…[pic 11]
[pic 12][pic 13][pic 14][pic 15]
Malware tjutched.exe
- Nombre: tjutched.exe
- Tipo de Archivo: Portable Executable 32
- Información de archivo: UPX 2.90 [LZMA] (Delphi stub) -> Markus Oberhumer, Laszlo Molnar & John Reise
- Tamaño de archivo: 50.50 KB
- Fecha de Creación: Thursday 20 October 2016, 20.30.33
- Fecha de modificación: Friday 17 September 2010, 20.31.14
- Fecha de acceso: Monday 24 October 2016, 11.52.58
- MD5: 411386C373C95B12BFFB192BA22ADB3E
- SHA: 871EEDC2FB32F10D0B8882E77069EBC183D2E97E
- Comentarios: yspAe78g74Z75u28
- Nombre de compañía: ryjXnpr91X79C27klRAL35vh
- Descripción de archivo: A44l6gom44
- Copyright: nGtUW39G17b39E7bY
- Nombre de Producto: x50N33o28
- Versión de Producto: 61.51.0035
- Nombre Interno: Trd36qR
Nombre de amenaza: Gusano, se propaga en el equipo.
Archivos generados y sus rutas:
...