jueves, 21 de enero de 2010

Otro bicho por messenger II


Luego de una tarde de estudio de física me vinieron ganas de tirar el libro al diablo y ver cómo iban mis amigos de sexy-brazil.com con su bicho :D.


Los cambios no han sido muchos, ahora uno de los nombres con que llega el archivo infectado (a través de WindowsLive Messenger) es “good.exe”, la lista mas detallada está en unos comentarios del post anterior. El proceso se ejecuta con el nombre iexplorer.exe (como el browser, si :D, pero ocupa poco mas de 1Mb en memoria, no como el browser :D).


2


Cambiaron el puerto al que se realiza la conexión :D, ahora nos conectamos al puerto 4244, aunque los mensajes que se envían y reciben parecen ser los mismo que se vieron antes.


3


Las siguientes líneas son un pequeño script en batch para la desinfección, es demasiado simple y hasta ineficiente en el caso de que se hayan ejecutado muchas copias del “virus”, ya que a partir de la 4ta copia ejecutada se crearía la carpeta IXP004.TMP que no estaría contamplada por el script :D. Si alguien recuerda algo de batch que lo arregle por favor.


@echo off


echo Eliminando archivo copiado locamente


rmdir /s /q %TEMP%\IXP000.TMP


rmdir /s /q %TEMP%\IXP001.TMP


rmdir /s /q %TEMP%\IXP002.TMP


rmdir /s /q %TEMP%\IXP003.TMP


echo Eliminando la clave del registro


reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "Windows UDP Control Center"


Lo que hace básicamente es eliminar el o los directorios donde se guarda la copia residente del “virus” y luego eliminar la clave de autoarranque del registro. Este script es útil siempre y cuando no cambien estos parámetros en el “virus”. (SÓLO PROBADO EN WINDOWS XP)


Este script NO DETIENE al proceso que se encuentra en ejecución, hay que detenerlo con el administrador de tareas de windows o bien con el Process Hacker (muy recomendable de hecho).


Eso es todo por hoy, a seguir estudiando ¬¬.

No hay comentarios:

Publicar un comentario