Solución del séptimo Desafío de ESET

Luego de haber aportado una pequeña ayuda, han respondido correctamente a nuestro séptimo desafío.

Originalmente se descargaba un archivo ZIP conteniendo un correo (archivo EML) en el cual se podían ver algunas cabeceras sin importancia y luego una serie de caracteres codificados en Base 64, codificación de 7 bits característica cuando se envía un archivo adjunto.

Por lo tanto, nuestro correo disponía de un archivo adjunto que podemos decodificar de Base 64 a binario. Para ello utilizamos alguna aplicación o algún sitio que lo haga en forma online y tomamos como fuente a transformar los caracteres codificados desde “——=_NextPart_000_01D5_01C9A3DC.66898190” en adelante (comienza con “UEsDBBQ” y finaliza con “MQEAAAA=”).

Nota: Este proceso también se puede realizar desde un cliente de correo.

Luego de decodificado, podemos ver que los primeros caracteres del mismo son PK, lo cual indica que se trata de un archivo comprimido del tipo ZIP.

Renombramos el archivo, lo abrimos y desde este comprimido obtenemos el archivo virtual.txt (nuevamente con la misma contraseña) y observamos su contenido, para constatar que se trata de un archivo del tipo XML.

Este archivo puede ser recorrido manualmente nodo por nodo o se puede utilizar la aplicación gratuita ESET SysInspector, con el cual fue generado, para leer su contenido. De hecho casi al final del archivo, se indica que el archivo ha sido originalmente generado con esa aplicación.

Con esta herramienta, diseñada por ESET para este propósito, podemos constatar que efectivamente existen procesos sospechosos, simulando ser la aplicación VMWare. Al iniciar el sistema,  se ejecutan los siguientes procesos:

  • vmware2 = C:Documents and SettingsAll UsersApplication Data1432976623vmware2.exe
  • 359F5809-00B8-4455-A73A-9EA62A51101B = C:Documents and SettingsAll UsersApplication Datavmware.exe

Estas dos aplicaciones en realidad ejecutan procesos en carpetas que nada tienen que ver con VMWare y utilizan nombres extraños, como un número en su carpeta.

Como dato adicional al desafío, podemos agregar que, una vez instalado y ejecutado esta aplicación puede verse de la siguiente manera:

Este programa corresponde a un Adware y un Rogue que son detectados por ESET NOD32 como una variante de Win32/Adware.WinWebSecurity.

La persona que ha resuelto el desafío, luego de algunos intentos es Raúl, para quien van nuestras felicitaciones y Licencia.

Cristian

Autor , ESET

  • manuel

    ¿con que programa o en qué pagina puedo decodificar virus así?

    • Hola Manuel:

      Como quedó clara en la solución, el texto en sí mismo no era un malware sino un archivo de texto que indicaba que el sistema estaba infectado.
      Por favor lee atentamente la solución.

      Cristian

  • Raul

    Acabo de recibir la licencia que gané en el 7° desafío de ESET. NOD 32 por un año. Gracias ESET! Fue una linda experiencia.

    Además con el NOD32 estoy reemplazando en mi Notebook un Panda 2008 que ultimamente se había vuelto loco y me bloqueaba la ejecucion de programas de Windows sin explicación alguna!.

    Lo solucioné instalando el NOD32 que gané, el mismo que ya usaba en mi Desktop sin ningun problema desde hace 2 años.

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Solución al octavo desafío de ESET()

Síguenos