Mmmm.... Interesante, intentan infectarme x"DDDDDDDDDDDDDDDDDDD




Direccion Url a la cual sibio el archivo: http://www.megaupload.com/nl/?d=7PJPK49G


Curioso el archivo abre un ejecutable con el que no contabamos y una imagen ¿? :)




/********** Olly *******/

00401280  |. 68 48204000    PUSH Hicuxh4k.00402048                   ; /src = "\diploma.exe"



00401291  |. 68 48214000    PUSH Hicuxh4k.00402148                   ; /src = "\DSC05613.jpg"
/********Final Olly***/


Es su unico cometido un codigo fuente que solo haga eso que raro no ¿?.
Bueno tambien tiene otro cometido aun mas raro todavia, el de escribir 2 archivos binarios 

/****** Olly***********/
004012C8  |. 68 4D224000    PUSH Hicuxh4k.0040224D                   ; /mode = "wb"
004012CD  |. 8D85 FCFEFFFF  LEA EAX,DWORD PTR SS:[EBP-104]           ; |
004012D3  |. 50             PUSH EAX                                 ; |path
004012D4  |. E8 17020000    CALL <JMP.&CRTDLL.fopen>                 ; \fopen






004012DB  |. 68 4D224000    PUSH Hicuxh4k.0040224D                   ; /mode = "wb"
004012E0  |. 8D85 F8FDFFFF  LEA EAX,DWORD PTR SS:[EBP-208]           ; |
004012E6  |. 50             PUSH EAX                                 ; |path
004012E7  |. E8 04020000    CALL <JMP.&CRTDLL.fopen>                 ; \fopen
/*********** Final Olly *********/



Roolz x"DDDDDDDDDDDDDDDDd Escribe dos archivos binarios que cosas mas raras hace el soft comercial de hoy dia.
mmm... y encima nos da la direccion de donde va el archivo xDDD


/*** Olly ***/
00401262  |. 50             PUSH EAX                                 ; /Buffer
00401263  |. 68 04010000    PUSH 104                                 ; |BufSize = 104 (260.)
00401268  |. E8 2F020000    CALL <JMP.&KERNEL32.GetTempPathA>        ; \GetTempPathA
/*** Final Olly***/


Olle y encima los ejecuta x"DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD


/******** OllyDbG******/
004013B1  |. E8 26000000    CALL <JMP.&SHELL32.ShellExecuteA>        ; \ShellExecuteA
/***** Final Olly*****/




Bien que curioso nos vamos a la carpeta Temporal ("TEMP") de mi usuario. Y hay un archivo llamado diploma.exe y una imagen
x"DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD roolz




/***************** CMD ***********/

C:\Documents and Settings\XXXX\Configuración local\Temp>dir
 El volumen de la unidad C no tiene etiqueta.
 El número de serie del volumen es: 4DE7-D548

 Directorio de C:\Documents and Settings\XXXXXX\Configuración local\Temp

07/01/2007  02:45    <DIR>          .
07/01/2007  02:45    <DIR>          ..
07/01/2007  02:38           606.249 DSC05613.jpg  <---- Por que sera que encajan
07/01/2007  02:38           294.975 diploma.exe <------- x"DDDDDDDD
06/01/2007  21:00            16.384 ~DFD365.tmp
06/01/2007  18:35            16.384 ~DFE506.tmp
06/01/2007  18:35               512 ~DFE51A.tmp
               5 archivos        934.504 bytes
               2 dirs  11.985.739.776 bytes libres

C:\Documents and Settings\Rozor\Configuración local\Temp>


/****************FINAL CMD*********/



Curioso el archivo diploma.exe esta encriptado. Primero a por la infeccion x"DDDDDD



/************CMD****************/

C:\Documents and Settings\XXXXX\Configuración local\Temp>reg query HKEY_LOCAL_MA
CHINE\Software\Microsoft\Windows\CurrentVersion\Run /s

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    BDMCon      REG_SZ  C:\Archivos de programa\Softwin\BitDefender8\bdmcon.exe
    BDNewsAgent REG_SZ  "c:\archivos de programa\softwin\bitdefender8\bdnagent.e
xe"
    SunJavaUpdateSched  REG_SZ  "C:\Archivos de programa\Java\jre1.5.0_10\bin\ju
sched.exe"
    GLSetIT32   REG_SZ  c:\windows\system32\msiexec16.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalCompone
nts

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalCompone
nts\IMAIL
    Installed   REG_SZ  1

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalCompone
nts\MAPI
    Installed   REG_SZ  1
    NoChange    REG_SZ  1

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalCompone
nts\MSFS
    Installed   REG_SZ  1
/******* Final CMD *********/



GLSetIT32   REG_SZ  c:\windows\system32\msiexec16.exe <--- Que curioso yo creia que era msiexec y tambien que Win16 murio hace tiempo yo crei que era Win32 :( . PD: Chico vamos ya por 64 x"DDDDDDDDDDDD . GLSetIT32 <--- ¿? x"DDDDDDDDDDD




/**********CMD****************/
C:\Documents and Settings\Rozor\Configuración local\Temp>reg query HKEY_LOCAL_MA
CHINE\Software\Microsoft\Windows\CurrentVersion\Run /v GLSetIT32

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    GLSetIT32   REG_SZ  c:\windows\system32\msiexec16.exe 
/********** Final CMD ******/




/**********CMD************/

C:\Documents and Settings\Rozor\Configuración local\Temp>reg delete HKEY_LOCAL_M
ACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v GLSetIT32

Delete the registry value GLSetIT32 (Y/N)? y

La operación finalizó correctamente

C:\Documents and Settings\Rozor\Configuración local\Temp>taskkill /F /IM msiexec16.exe

Correcto: se terminó el proceso "MSIEXEC16.EXE" con PID 176.

C:\Documents and Settings\Rozor\Configuración local\Temp>del %systemroot%\system32\msiexec16.exe

/******** Final CMD *****/


x"DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD

Quien folla a quien¿?. La proxima vez intenta hacerlo mejor :D

.....GAME OVER.....