Cuando investigo con el Peid y el OllyDbg veo que está comprimido con UPX y programado en Delphi pero no se que hace.en el artículo decían que había un ejecutable ctfmgr.exe, cuya direccion de carga era c:\windows\ctfmgr.exe quien se encargaba de crearlos (si no estaba en la memoria ya creado) y copiarlos a la memory flash.
Hablo en plural pues también crea un auto run que cuando metes la llave se ajecuta el WTP_Restore.exe.
En mi máquina está el troyano pero el programa que lo crea si no lo encuentra en la llave se llama wscmgr.exe y está en el mismo lugar.Yo tengo el NOD actualizado y la primera vez que lo corrí lo detectó pero no lo pudo descontaminar. No sé si influyó que tenía la rama del regisdtro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run para que se ejecute cada vez que inicie sesión.
Después lo borré manualmente (la carpeta MSO Cache con el troyano dentro y el autorun.info)Entonces fui a c:\windows y ejecuté el que lo crea wscmgr.exe y cuando vuelvo a pasar el NOD 32 no me lo detecta a pesar de verlo y estar en la llave.Con el Proces explorer veo que cuando ejecuto el WTP_Restore.exe. crea en un temporal del document and settings un dialsys.exe y a los pocos segundo lo desaparece pues voy a la dirección que da el process explorer y no hay nada. C:\DOCUME~1\Ernesto\LOCALS~1\Temp\\dialsys.exe, dice que es un Dialupass.antes de conectarme para poner el mensaje fui al registro y quité la rama que arranca al wscmgr.exe y los (el autorun y la carpeta MSO Cache con el WTP_Restore.exe) borré de la memoria flash.Me imagino que si en ese momento estoy conectado manda algo con el dialsys.exe.
jueves, enero 03, 2008
Suscribirse a:
Comentarios de la entrada (Atom)
No hay comentarios.:
Publicar un comentario