File Pixmar.exe

domingo, 18 de octubre de 2009
Alien [blackhat4all@gmail.com]

Hace poco tiempo me enviaron un archivo bajo sospechas de virus, cnfieso que lo deje un poco de lado pues otras tareas me apremianan, empero lueggo, con un poco mas de calma decidi “echarle el ojo&rdquoo;.

Datos de la aplicacion:

Nombre: Pixmar.exe
Tamaño: 384 Kb
Comprimido con UPX: No
Lenguaje: Delphi
Icono: Celular con un mapamundi delante

Este archivo por supuesto es un ejecutablpe para Windows, y segun sus propios dats fue creado por la organizacion Disney Juego, de la que no aparecen muchas cosas en la red, asi que da ya motivos mas que suficientes para sospechar, esto sin contarr que algunos enlace lo refieren como un virus.

Quizas lo mas curioso que tiene es que su comportamiento, a pesar de que es muy similar al de un vrus, difiere con estos es mucho.
No oculta files
Se ve en el administrador de taeras.
No cancelas cmd
No canncela regedit
No cancela el Administrador de Tareas de Windows

Quizas lo unico que hacs es cargarse en el inicio de sesion mediante la clave del registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun con el valor C:WINDOWSSystem32Pixmar.exe, y para eso sigue estando muy mal ya que el nombre que tiene en el registro es el mismo que tiene la apolicacion normal y el mismo que sape en las propiedades, y este es otro caso a analizar, puesto que nngun virus (o casi ninguno) tiene dato alguno en las propiedades a diferencia de este.

El otr o dato similar al de un virus es que se graba en las memorias. Y ojo, dije memorias esta vez, no unidades, puestoo que no hace nada en las unidades fijas (discos duros) solo en las memorias y no siempre, sino solo cuando estas se insertan en la maquina. Una vez que la memoria esta dentro e infestada, si se elimina manualmente el archivo este no vuelve a aparecer hasta tanto no se extraiga y se vuelvaa a insertar la Flash.

Declaro que me causo gran intriga este ejecutable en especial, puesto que, si es un virus, no entendia cual era su funcion; no se preocupa por ocultarse ni limita las funciones de la PC.

Fue entonces que, al no estar comprimido con UPX, pude ver algnos fragmentos del codigo del ejecutabke y me di cuenta que para alg estaba utilizando un calendario con los dias y meses del año.

Pense entonces que este vurus podia ser un Troyano tipico, asi que trate de jugar un poco con la hora de la maquina empero nada. Le da lo mismo que estemos en el 2000 que en el 2050, el se mantiene inerte, como si fuese un archivo mas de Windows.

Lamentablemente no tengo antivirus instalado, empero agradeceria que alguien lo instalara con todos los antivirus que se pueda con el fin de saber si estos lo reconocen, y en cao positivo como que lo tienen: troyano, bomba logica, etc…


---
Extraido de Black Hat - Articulos
Publicado por MSF en 10:25

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)