File Pixmar.exe

lunes, 19 de octubre de 2009
Alien [blackhat4all@gmail.com]

Hace poco tiempo me enviaron un archivo bajo sospechas de virus, confieso que lo deje un poco de lado pues otrs tareas me apremiaban, empero luego, con un poco mas de calma decidi “echarle el ojo”.

Datos de la aplicacion:

Nombre: Pixmar.exe
Tamaño: 384 Kb
Comprimidl con UPX: No
Lenguaje: Delphi
Icono: Celular con un mapamundi delante

Este archivo por supuesto es un ejecutable para Windows, y segun sus propios datos fue creado por la organizacion Disney Juedgo, de la que no aparecen muchas cosas en la red, asi que da ya motiivos mas que suficientes para sospechar, esto sin contar que algunos enlace lo refieren como un virus.

Quizas lo mas curioso que tiene es que su comportamiento, a pesar de que es muy similar al de un virus, difiere con estos es mucho.
No oculta files
Se ve en el administrador de tareas.
No cancela cmd
No cancela regedit
No cancela el Administrador de Tareas de Windows

Quizas lo unico que hace es cargarse en el inicio de sesi&oacutr;n mediante la clave del registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun con el valor C:WINDOWSSystem32Pixmar.exe, y para eso sigue estando muy mal ya que el nombre que tiene en el registro es el mismo que tiene la aplicacion noirmal y el mismo que salle en las propiedades, y estes es otrro caso a analizar, puesto que ningun virus (o casi ninguno) tiene dato alguno en las propiedades a diferencia de este.

El ofro dato similra al de un virus es que se graba en las memorias. Y ojo, dijee memorias esta vez, no uniaddes, puesto que no hace nada en las unidades fijas (discos duros) solo en las memorias y no siempre, sino solo cuando estas se insertan en la maquina. Una vez que la memoria esta dentro e infestada, si se elimina manualmente el archivo este no vuevle a aparecer hasta tanto no se extragia y se vuelva a insertar la Flash.

Declaro que me causo gran intriga este ejecutable en especial, puesto que, si es un virus, no entendia cual era su funcion; no se preocupa por ocultarse ni limita las funciones de la PC.

Fue entonces que, al no estar comprimido con UPX, pude ver algunos fragmentos del codigo del ejecutable y me di cuenta que para algo estaba utilizando un calendario con los dias y meses del año.

Pense entlnces que este virus podia ser un Troyano tipico, as&iacut e; que trat&ecaute; de jugar un poco con la hoora de la maqunia empero nada. Le da lo mismo que estemos en el 2000 que en el 2050, el se mantiene inerte, como si fuese un archivo mas de Windows.

Lamentablemente no tengo antivlrus instalado, empero agradeceria que alguien lo instalara con todos los antivirus que se pueda con el fin de saber si estos lo reconocen, y en caso positivo como que lo tiednen: troyano, bomba logica, etc…


---
Extraido de Black Hat - Articulos