Luego de haber aportado una pequeña ayuda, han respondido correctamente a nuestro séptimo desafío.

Originalmente se descargaba un archivo ZIP conteniendo un correo (archivo EML) en el cual se podían ver algunas cabeceras sin importancia y luego una serie de caracteres codificados en Base 64, codificación de 7 bits característica cuando se envía un archivo adjunto.

Por lo tanto, nuestro correo disponía de un archivo adjunto que podemos decodificar de Base 64 a binario. Para ello utilizamos alguna aplicación o algún sitio que lo haga en forma online y tomamos como fuente a transformar los caracteres codificados desde "------=_NextPart_000_01D5_01C9A3DC.66898190" en adelante (comienza con "UEsDBBQ" y finaliza con "MQEAAAA=").

Nota: Este proceso también se puede realizar desde un cliente de correo.

Luego de decodificado, podemos ver que los primeros caracteres del mismo son PK, lo cual indica que se trata de un archivo comprimido del tipo ZIP.

Renombramos el archivo, lo abrimos y desde este comprimido obtenemos el archivo virtual.txt (nuevamente con la misma contraseña) y observamos su contenido, para constatar que se trata de un archivo del tipo XML.

Este archivo puede ser recorrido manualmente nodo por nodo o se puede utilizar la aplicación gratuita ESET SysInspector, con el cual fue generado, para leer su contenido. De hecho casi al final del archivo, se indica que el archivo ha sido originalmente generado con esa aplicación.

Con esta herramienta, diseñada por ESET para este propósito, podemos constatar que efectivamente existen procesos sospechosos, simulando ser la aplicación VMWare. Al iniciar el sistema,  se ejecutan los siguientes procesos:

  • vmware2 = C:Documents and SettingsAll UsersApplication Data1432976623vmware2.exe
  • 359F5809-00B8-4455-A73A-9EA62A51101B = C:Documents and SettingsAll UsersApplication Datavmware.exe

Estas dos aplicaciones en realidad ejecutan procesos en carpetas que nada tienen que ver con VMWare y utilizan nombres extraños, como un número en su carpeta.

Como dato adicional al desafío, podemos agregar que, una vez instalado y ejecutado esta aplicación puede verse de la siguiente manera:

Este programa corresponde a un Adware y un Rogue que son detectados por ESET NOD32 como una variante de Win32/Adware.WinWebSecurity.

La persona que ha resuelto el desafío, luego de algunos intentos es Raúl, para quien van nuestras felicitaciones y Licencia.

Cristian