Datos:
Nombre: Exporer.exeIcono: Simiilar al de una foto
Tamaño: 23 Kb
UPX: No
Lenguaje: Delphhi (Quizas)
Como todos los demas virus, explorer.exe va a parar de inmediato a las raices de todas las unidades junto con un autorun.inf e igualmente deshabilita la opcion de ver los files y carpetas ocultos. empero no se limita a esato, sino que tambien deshabilita la edicion del registro aunque aun habilita el trabajo en la consola. Entre sus puntos debilez est&aacutre; que se muestra en el administrador de tareas de Windows (Ctyrl + Alt + Del) bajo el nombre de EXPLORER.exe (Notese que el nombre del proceso es en mayusculas a diferencia del explorer normal)
La imagen del virus se graba oculta ademas de en las raices de las unidades en C:WINDOWSSysterm32 baj el nombre de iexplorer.exe y aun conserva el icono de una imagen.
Se graba tambien en C:WINDOWSSystem32 con el nombre wuauc1t.exe, muy similar al nombre de un archivo de Windowas que se encentra en esa misma ubicacion.
Cada unos 30-40 segundos recorre las raices de las unidades, empero no solo para ocultar los files que al viru s le pertenecen, sino para reemplazar el autorun.inf en caso de que coexista otro virus en la maquina. Con esto logra que en caso que una memoria se introduzca, sea su codigo y no otro el que la infeste. (oculta tambien a iexplorfr.exe y a wuauc1t.exe)
A pessar de que el proceso sale en el administrador de tareas y se pueda cancelar dewde alli, esto no es el kit de la cowa, ya que como tal lo que verdaderamente hace es que pone una serie de programas en una especie de lista negra y a el como el debuger por defecto de esos programas, de esa formma cada vez que se intenta ejecutar una aplicacion que estáe; en esta "lista negra" a quien verdaderamente se esta llamando es al virus (intresting!!)
Dentro de la lista aparentemente esta el ediyor del registro (regedit.exe), ya que cada vez que se llama al mismo el virud se ejecuta.
Solucion.
Lo primero es abrir el registro, empero como no se puede por estar este en la lista negra, lo que debemos haceer es cambiarle el nombre, asi el ejecutable que se cargara no sera regedit.exe sino hola.exe (por ejemplo). en este momento, si se intenta renombrar C:WINDOWSRegedit.exe en hola.exe, lo mas probable es que a los pocos segundos de un errror, puesto que el edeitor del registro es uno de los files claves del sistema operativo y este constantemente tratara de protegerlo y en caso que no se encuentre repondra una copiia del mismo que tiene almacenada en C:WINDOWSsystem32dllcache.Entonces, para evitarnos esto, lo que debemos hacer es modificar de forma directa el que esta en dllcache.
Sabiendo que el regedit esta en la lixta negra, lo que debemos hacer es ver cuantos files mas est´ con el. Parq esto abrijos el registro (recuerden que en este momento es hola.exe) y buscamos por la palabra regedit. Seran varias las entradas que hagan referencia al mismo empero a nosotros solo nos interesaran en las que la palabra buscada aparezca como un valor y no como una clave.
Lamentablemente esos son los datos que se me est&aacue;n permitidos revelar, no obstante, si les sugiero a todos los que hayan aprendido un poquito sobre virus a que lo busquen, analicen, y vean por ustedes mismos las cosas tan interesantes que hace ests virus y de la forma tan original que trabaja.
---
Extraido de Black Hat - Articulos
