Mensaje
por msc hotline sat » 22 Nov 2005, 11:18
Recibido y analizado el fichero enviado, resulta estar encriptado con XOR - FF y una vez desencriptado nos ofrece la siguiente informacion:
[quote]VSBF, Ú C : \ D o c u m e n t s a n d S e t t i n g s \ T u N o m b r e \ C o n f i g u r a c i ó n l o c a l \ A r c h i v o s t e m p o r a l e s d e I n t e r n e t \ C o n t e n t . I E 5 \ O 7 8 9 S B C D s p l o i t [ 1 ] . a n r WinNT KernelMode Driver CRIFFœ ACONanih| $ w‚@ ëdw‚@ ëdëTw‚@ ëTw‚@ ëDw‚@ ëDw‚@ ë4w‚@ ë4w‚@ ë$w‚@ ë$w‚@ ëw‚@ ëw‚@ w‚@ éÁ V3Àd‹@0…Àx‹@‹p‹@ë ‹@4@|‹@<^Ã`‹l$$‹E<‹T(xÕ‹J‹Z Ýã4I‹4‹õ3ÿ3Àü¬„Àt ÁÏ
øëô;|$(uá‹Z$Ýf‹K‹ZÝ‹‹Å‰D$a ŽNì~Øâs˜þŠ6/pUrlmon.dll c:\loader.exe ¤¸¸¼öã㥪¾¡©®¥¶â®¥¶ã¨ ã £¨¨ºøÿÿâ©´© è:þÿÿ‹Øè ^î[ ‹þ3ÉPSèBþÿÿ‰AƒùuïvVÿ‹ØÿwSè(þÿÿ‰G3ÉQQ¬„ÀuûV‹Þ¬„ÀuûV3ÀPW‹þ¬„Àt4̪ëô_3öÿWj SÿWVÿW¸4 ¹ +
ä0@ ƒé;Áv-Ph6@ h`6@ èE ƒÄ[/quote]
(donde pone <T u N o m b r e> indicaba en UNICODE tu nombre real, que hemos omitido por confidencialidad)
en el cual se puede ver donde estaba ubicado y el nombre que tenía antes , y algo que noslleva a pensar que puedes tener dos ficheros relacionados con él:
/pUrlmon.dll c:\loader.exe
Buscalos y si los encuentras mos lo dices.
AParte de ellos, este fichero que estaba en la carpeta temporal ya fue detectado por el antivirus y puesto en cuarentena, por lo que está fuera de uso y puede borrarse.
Los ficheros temporales de Internet pueden eliminasre desde las <herramientas del propio navegador, o si quieres con nuestra utilidad ELITEMPO:
ELITEMPO
http://www.zonavirus.com/datos/descargas/70/EliTempo.asp
y esta carpeta contiene el proceso intermedio donde los mails, los ficheros utilizados por las webs y demas, son examinados por el antivirus antes de ser procesados, para determinar sui estan infectados, y si es el caso, es eliminan o pasan a cuarentena.
Este formaba parte de un downloader, presuntamente controlado, por lo que probablemente no tendrás ya los ficheros antes indicados, pero nos informas sobre ello, gracias
saludos
ms, 22-11-005
[img]
msc hotline sat Virus Research Engineer