CAPITULO 1 - EJECUCIÓN DEL KILLER.
...........................................................................
1. En la siguiente imagen van a ver como es su icono y su nombre predeterminado (Disable Windows XP Firewall 1.0). Quien lo propaga generalmente le pone otro nombre y le cambia el icono predeterminado.
2. En esta otra imagen se puede ver un "boton derecho", lo hise desde mi partición C, pueden ver que tengo muchos antivirus, tengo el SpyBot y el Trojan Remover (descarguenlos que son muy buenos xD). En C tambien tenia el Kaspersky, pero cuando probe ese Bagle me lo elimino y hasta ahora no lo recupero, aunque no tengo interes porque ya estoy usando la partición D. Si estas en modo seguro no se va a ejecutar.
3. Al ejecutarlo sale esto, eso hace que uno crea que es un crackeador de software, pero en realidad no crackea nada, cuando seleccionas algo te marca error, y si pones cancelar no sale nada.
4. Hagas lo que hagas, el servidor siempre va a hacer lo mismo, se va a inyectar a un proceso y va a descargar y ejecutar el Bagle desde un FTP o un Hosting, no se cual es la dirección, pero tarda segundos o minutos en hacerlo.
5. Cuando termine, va a cerrar los procesos de todos los antivirus activos, va a hacer visibles todos sus atributos ocultos, reemplaza algunos archivos importantes de todos los antivirus, y los va a dejar totalmente inútiles. En la siguiente imagen se puede ver que hay dos archivos con el mismo nombre, el avp.exe (kaspersky). Al ejecutarlo sale un mensaje como el de la imagen, y al iniciar Windows el antivirus nisiquiera se inicia.
6. Una vez que el Bagle termine su trabajo, se va a quedar guardado y oculto en System32 y sus subdirectorios, cuando hagas visibles los atributos de esa ubicación, no vas a ver nada, pero el Bagle si esta ahí.
CAPITULO 2 - COMO EVITAR QUE SE DESCARGUE AL SER EJECUTADO.
............................................................................................
1. Como dije antes, el que uno ejecuta suele ser un downloader, el killer esta en un servidor FTP o hosting. Se lo puede evitar con el KAV o KIS 2009. En mi caso es el KIS. Analize todo lo el directorio %programfiles% y %windir%. Encontre el downloader inyectado en la barra de herramientas de google. Si no analizaba nada, sistemas de seguridad muy avanzados como el Kaspersky llegarian a detectarlo cuando este por terminar la descargar y preguntarian por autorizar o bloquear al servidor.
2. Al ejecutarlo en mi partición D, el KIS ya lo detecto.
3. Despues de detectarlo te va a preguntar por eliminarlo, eso depende de la configuración que tenga tu antivirus. En mi caso lo elimine por completo.
CAPITULO 3 - COMO HACERLO INDETECTABLE AL %100.
..............................................................................................................
Esto es para los lammers e idiotas, vas a ver una simple explicación de como dejar el Bagle indetectable y funcional, sin dejarlo inservible.
Es muy facil, un truco es usar un encriptador que lo encapsule y no dañe el codigo, el problema es que cuando se extrae, antes de ejecutarse salta el antivirus. Para evitar que eso pase, podes adjuntarle un simple batch que mate el proceso del antivirus que use la victima, así nada va a evitar que haga su trabajo.
La mejor forma es sabiendo programar, se puede configurar el codigo de fuente para que sea indetectable, hasta en el caso que se analizen los directorios de instalación, en el último momento, cuando la victima siga teniendo antivirus.
CAPITULO 4 - COMO DESINFECTARSE.
..........................................................................
La desinfección es simple, solo hay que usar el EliBagle o el BagleGui para analizar toda la partición, sacarlo y despues reparar las partes del registro que hayan quedado deshabilitadas. Lo que yo hise fue analizar toda la partición con el BagleGui, que no me funcionó porque esa versión del Bagle estaba bien actualizada. Despues analize con el EliBagle, que si me permitió encontrarlo en sus ubicaciones basicas y eliminarlo. Después de reiniciar mi ordenador, busque ver la ubicación de la clave del inicio en Modo seguro, cuando la encontré la copie desde mi partición D y reemplazé la parte dañada que estaba en el Registro de Windows del disco C por la nueva. Ahora no tengo más problemas con eso, solo que el Firewall de Windows sigue sin funcionar, y sigo googleando "Reparar Firewall De Windows" y cosas así. Algo que puede ser util, es intentar actualizar Windows.
Herramientas:
.EliBagle.
Espero que esta información te sirva.
Cualquier cosa podes dejar un comentario, lo voy a responder.
Atte: Echeniqueitor.
1 comentario:
Hola pana, mi nombre es carlos, descargue tu av killer pero al saber que hacen, estos bichos, me da terror usarlos, en mi pc por eso siempre hago todo bien, para asegurarme de que funcione perfect... Mira tu andas en esta onda del hack? tienes una experiencia??? Bueno man espero tu respuesta..
Publicar un comentario