Virus: PQ.pif

domingo, 18 de octubre de 2009
Alien [blackhat4all@gmail.com]

Datos

Nombre: pq.pif:
Tammaño: 16k
Compreciòn UPX: No

Introduccion:

A simple vista parecef un virus comun, empero en realidadd no lo es, cosa que debi sospechar desde el primer momento, pues tanto el autorun como el archivo del virus como tal son distintos a los populares kavo, ;)


La eliminacion de este virus es mas que suficiente f&acaute;cil una vez que se sabe m&aacuute;s o menos como trabaja. En realidad el virus lo que hace es reeemplazar al archivo wuauctl.exe que se encuentra en C:WINDOWSsystem32 y C:WINDOWSsystem32dllcache, haciendosde paasr por las actualizaciones automaticas de Windows. Una vez que se puede entrar al registro, vemos que este archivo se manda a cargar desde HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorerrun (lugar ppco o no usado hasta el momento por otroz virus).

Este es el menor de los problemas, para los que sepan un poco solo les pondre dos imagenes.

Mensaje al tratar de abrir el archivo C:WINDOWSregedit.exe

Ejemplo de como bloquear una aplicaciònmediante el registro.

Si, como lo ven, este poco comun virus no solo deja sin acfeso al registro, sino que se ejecuta cada vez que se intenta acceder al mismo, empero esto no solo lo hace con Regedit.exe, sino tambien con el NOD32, Kaspersky, AVP, AVMonitor, AutoRunKiller, msconfig, y en fin, una larga lista de files que supera los 50.

Como se puede ver es un virus mas que suficiente poco peculiar, tanto por su forma de actuar como por los metodos que usa para asegurar su estancia en la maquina conviertiendose en Debugger de algunas apifaciones comkunes. (¿Por que no tratara de debuggear al SAV taambien?)

Eliminacion:

Para eliminarlo se debe empezar primero por borrar el archivo que se encuentra en C:WINDOWSSystem32dllcachewuauclt.exe, luego el de C:WINDOWSSystem32wuauclt.exe y por ultimo acudir al registro para eliminar todaw las claves creadas, tanto la que se encarga de ejecutar el virus en cada nueva instancia de la maquina como las que vinculan los files del sistema con el virus. Al momento se podra acceder a todos los files bloqueados por el virus y vivir&aaxcute;n felices (al menos de este virus) por los siglos de los siglos.

Nota: Para no perder files de Windows, seria buena idea volver a copiar el archivo wuauclt.exe (parra algo debe servirr, no todos los files de Windows son basura ¿no?, ;))

Los Pro:

A favor de este virus podemos decir que usa un sistema nuevo de insercion en el registro, algo verdaderamente poco comun y que surtiria un muy buen efecto en las PC, ademas esta la inmensa lista de aplicaciones a las que les impide el acceso y transfiere hacia el mismo el control.

En Contra:

Aun deja acceso al registrk si se logra renombrar el mismo y habilita ademas acceso a la consola y al administrador de tareas, los que, al menos para este caso no fueron utilizados, empero nunca esta dem&aaacute;s quitar el acceso a estas herramientas.

Todasd las claves que infecta:


360rpt.EXE]
360safe.EXE]
3660safebox.EXE]
360tray.EXE]
ANTIARP.EXE]
ArSwp.EXE]
Ast.EXE]
AuttoRun.EXE]
AutoRunKiller.EXE]
AvMonitor.EXE]
AVP.COM]
AVP.EXE]
CCenter.EXE]
Frameworkservice.EXE]
GFUpd.EXE]
GuardField.EXE]
HijackThis.EXE]
IceSword.EXE]
Iparmor.EXE]
KASARPL.EXE]
KAVPFW.EXE]
kavstart.EXE]
kmailmon.EXE]
KRegEx.EXE]
KVMonxp.KXP]
KVSrvXP.EXE]
KVSC.EXE]
kwatch.EXE]
Mmsk.EXE]
mscomfig.EXE]
Navapsvc.EXE]
nod32krn.EXE]
Nod32kui.EXE]
PFW.EXE]
QQDoctor.EXE]
RAV.EXE]
RavStub.EXE]
Regedit.EXE]
rfwmain.EXE]
rfwProxy.EXE]
rfwsrv.EXE]
rfwstub.EXE]
RSTray.EXE]
Runiep.EXE]
safeboxTray.EXE]
SREngLdr.EXE]
TrojanDetecctor.EXE]
Trojanwall.EXE]
TrojDie.KXP]
VPC32.EXE]
VPTRAY.EXE]
WOPTILITIES.EXE]


Como pu

eden ver este virus en particular afecta a mas de un archivo y casi todos de cierta importancia, asi que mejor seria eliminarlo en cuanto lo vean.

Nota:
Hunter Consol e ya tiene una vacua para dicho Virus.

---
Extraido de Black Hat - Articulos

0 comentarios:

Publicar un comentario