PDA

Ver la versión completa : puede infectarse un arch. comprimido?



Esperpentor
18-01-2008, 16:25
Saludos.

Hace ya tiempo tengo instalado mi Nod32 vercion2.7 de prueba con FIX crack y le confiaba la vida de mi pc a este. Pero pasa de que como no tengo internet, no tengo como actualizarlo. Resulta de que hace poco fui infectado por Win32/Alman.NAB (virus), segun me ha dicho otro nod 32 actualizado, es gracioso mi antivirus me decia a cada rato de que estaba obsoleto y que nececitaba actualizarlo, pero pense de que podia esperar un poco mas, ya que siempre escaneaba mis archivos con la euristica avanzado y todas la opciones posibles de nod32. Pero este Win32/Alman.NAB (virus), se a colado.
Pasa que tengo mi nod 32 vercion 2.7 actualizado al 2007/05/12, y este bicho salio a la venta... VSantivirus No 2467 Año 11, sábado 9 de junio de 2007, jaja que grasioso nada mas un mees mas, me faltaba un miserable mes paara haberlo reconocido.

Pero ese no es el caso, la pregunta es puede un virus infectar un archivo comprimido, como por ejemplo un "nombre.rar", podria acaso infectarse un archivo asi, estoy tratando de hacer unas copias de mis archivos de tipo *.exe y *.dll y comprimirlas, por siesque llegase un virus, porque como que me entro la duda en cuanto a mi antivirus tan comfiable.

A ademas tambien se podrian infectar archivos de otros tipos de extenciones raras como *.dat, *.sys,y otros que ni extencion tienen, en realidad me parese de que si un virus se lo propone puede que si.

Respecto al Win32/Alman.NAB (virus), puse restaurar sistema y seguia infectado, retrosedi dias, meses y luego años, por la desesperacion formatee, mfmfmfmmfmf, fatidico, pero tiene su gracia, eso me pasa por flojo y no actualizar en nod 32,

1.- Copeamos los archivos que se encuentran en la carpeta donde fue instalado en Nod32, por defecto C:\Archivos del programa\ESET\:
nod32.000
nod32.002
nod32.003
nod32.004
nod32.005
nod32.006
de un Nod32 actualizado, podes ir a un cybercafe, por ejemplo, o pedirlo a un amigo.
2.- Reemplazamos los archivos por los que nosotros tenemos, y luego reiniciamos la pc para que los identifique correctamente.
Ylisto luego podes ver la fecha en la que fue actualizado el Nod32 y veras de que fue actualizado segun la ctualizacion del Nod32 externo.]

Rayos al pareser todas la maquinas del Instutut donde voy estan con virus, pero que mal, }

Esta manera de actualizacion es comfiable???, no tengo mucha informacion pero espero de que lo sea.

Nost
18-01-2008, 23:37
Esto haría yo:

1 Creo un archivo ejecutable prácticamente vacío (averigua tú como) y pongo todos las facilidades posibles para que se infecte.
2 Lo analizo con el olly para ver si puede descomprimir un archivo rar, infectar el ejecutable y recomprimirlo.

Y si me parece raro que pueda infectar una dll, más raro es que infecte dat e incluso ficheros sin extensión.

Salu3 :confused:

hystd
19-01-2008, 01:28
Buenas! No es lógico pensar que un virus infecte un fichero de datos. Sólo hay que pensar un poco... Para que el sistema operativo logre cargar cierta información en memoria, debe reconocer el fichero que se ejecuta como un programa. (.EXE para el caso de windows, o si el mapa de memoria que ve el programa es la del DOS, es decir 640KB, entonces hablamos de un .COM). Es decir si tu tienes por ejemplo un fichero de texto (.TXT) es impensable infectar dicho fichero, puesto que no es un programa y su contenido no se va a cargar en memoria (no son instrucciones a ejecutar por el procesador). Cosa distinta es infectar el bloc de notas (notepad.exe) que si es un programa, de tal manera que cada vez que se ejecute un fichero .txt, el sistema operativo llama, mediante los datos almacenados en el registro, al programa asociado para abrir dicho fichero... (en este caso notepad.exe) y al abrir el programa pues si se ejecutará el código del virus.

Hoy en dia la infección se realiza mediante inyección DLL, es decir, el código del virus reside en un fichero .dll, y es inyectado mediante funciones de la API de windows en aplicaciones externas.

A todo ésto se ha de añadir que existen métodos de ocultación (steganografía), que permiten ocultar/introfucir información dentro de un fichero de datos cualquiera. Pero hay que decir que una imagen (bmp, jpg, gif...) o un fichero de audio (wav, mp3, etc...) o video (avi, mpg, etc...), puede contener el código de un virus, pero éste jamás será ejecutado puesto que el sistema operativo, como he dicho antes, reconoce al fichero como un simple fichero de datos y no como un programa, y por tanto dicho código nunca será cargado en memoria como un conjunto de instrucciones a ejecutar. Mejor dicho, cuando abres el fichero, el Sistema operativo realiza la segmentación de memoria (asigna valores a los registros CS, DS, ES, etc...), para separar la zona de datos y de instrucciones (Data Segment (DS), Code Segment(CS)), el código del virus si será cargado en memoria, pero en zona de datos, por tanto nunca será ejecutado :). Lo que realmente se carga a partir del puntero CS es el código del programa asociado para abrir el fichero.

Espero haber aclarado un poco las cosas.

Un saludo

hystd
19-01-2008, 01:39
Por cierto en cuanto a lo que ha dicho Nost, sobre crear un programa vacio, se puede hacer :)

Ejecuta por ejemplo la utilidad debug.exe de Windows. Y teclea N seguido de un nombre de fichero.com, a continuación escribe en el registro CX el tamaño del ejecutable. cuando lo hayas hecho, escribe W para escribir los datos del fichero ejecutable vacío.

Por ejemplo:

C:\Documents and settings\Escritorio\> debug.exe
-N PRUEBA.COM
-R CX
:0001
-W
Escribiendo 0001 bytes...
-Q
C:\Documents and settings\Escritorio\>

También puedes rellenarlo de muchos NOP's, y así poder editarlo con un editor hexadecimal (cambiar los 90 en hex, correspondientes a los NOP's, por el código del programa a reemplazar).

Un saludo

Esperpentor
21-01-2008, 16:03
Waoo :eek:
Me habeis dejado anonadado :eek:, vaya vaya vaya, pasa de que no tengo mucho conocimiento de esto, pero alguito se, aqui en el insti donde asisto, me paresen de qe todas la maquinas estan infectadas por virus, troyanos, etc. :p

Ya me da miedo sacar informacion y descargar programillas de estas maquinas y llevarlas a casa, pasa de que esatas maquinas no tienen antivirus, solo se protegen por medio del deep freeze, congelando la unidad del sistema operativo y programas prinsipales, me refiero a la C:\, pero la D:\ esta vulnerable, y como a veces descongelan la C:\ tide un bicho infectar la tambien. Esto parese ocurrir en la maquina en la que estoy escribiendo ahora, ja triste no tener en donde caerce muerto :(, no tengo internet en casa, bueno como decia la maquina que tengo ahora, parece tener el Win32/Alman.NAB, no se como funciona internamente este virus, pero tube una anecdota con este virus, al no tener mi internet en casa, no podia actualizar mi nod32 vercion7, que segun mal no recuerdo estaba actualizado un mes antes de que este virus fuese reconocido por el nod 32 actualizado:


VSantivirus No 2467 Año 11, sábado 9 de junio de 2007

Alman.NAB. Infecta ejecutables, se propaga por redes
http://www.vsantivirus.com/alman-nab.htm

Nombre: Alman.NAB
Nombre NOD32: Win32/Alman.NAB
Tipo: Virus infector de ejecutables, gusano y caballo de Troya
Alias: Alman.NAB, Downloader.Agent.bsi, Downloader.Agent.LZM, Trojan.DL.Agent.UJE, Trojan/Downloader.Agent.bsi, Trojan-Downloader.Win32.Agent.bsi, Virus.Win32.Alman.b, Virus:W32/Alman.B, W32.Almanahe.B, W32/Almanahe, W32/Almanahe.dll, W32/QQPass.ADW.worm, W32/Rectix.A, Win32.Alman, Win32.Almanahe.B, Win32.Rectix.A, Win32/Alman.NAB, Win32/Almanahe!generic, Win-Trojan/Alman.46592
Fecha: 5/jun/07
Plataforma: Windows 32-bit
Tamaño: 46,592 bytes

si fijaos en la fecha, mi antivirus estaba actualizado 12 de mayo 2007, lleve un archivito ejecutable de esta maquina y la cuidadosamente lo revice con mi nod32 que me pedia a gritos que lo actualisace, que estaba obsoleto y mas, pero no me preocupaba, que que tenia la euristica avanzada activa, pero NO muchachos, no lo detecto, luego al dia siguiente vi como mi pc empezaba a lentearse, pasaba de que el nod32 modulo AMON que revisa los archivos abiertos, trabajaba como loco, pero que archivos se estan abriendo, si no aparese aqui nada????:confused:, lo unico que veia era como Amon revisaba uno a uno archivos y mas archivos como loco, pero esto pasaba despues deque ejecutase un archivo ejecutable, me aparesia CODIGO MALISIOSO DETECTADO algo de que EXPLORER.EXE intentaba crear un archivo IsDrv220 y otro mas que no me acuerdo.

Me asuste tanto que formatee.:(
Bueno ahora actualize mi nod32 con ese metodo de reemplazar los archivos nod32.000
nod32.002
nod32.003
nod32.004
nod32.005
nod32.006
Por otroa actualizados, no se si sea confiable, pero al menos nod32 ya no me pide actualizarlo.

Ahhh luego de infectarme con el alman.nab fui a esta misma maquina y formatee la D:\ pensando de que aun no era tarde y tal ves no se haya infectado tambien la C:\ pero parese que no fue asi.

Tengo en esta misma maquina a OLLYDBG, y si lo abro y lo desensamblo, veo algo terrible, el codigo del entryPoint esta un poco raro, parese que se agrego algo, ademas lo peor es que en la pestaña MEMORY de olly, me fijo en la seccion relocations, y veo de que tiene un largo de 15000, y que segun mal no recuerdo el original tiene uno de 9000 de largo mmm VIRUSSSS.
Rayos puede que la C:\ tambien este infectada o de que un usuario volvio a descargar el virus infectando a mi precioso olly. http://img232.imageshack.us/img232/1957/ollydesskj4.jpg
http://img86.imageshack.us/img86/3151/ollymemao8.jpg