Virus: PQ.pif

Alien [blackhat4all@gmail.com]

Datos

Nombre: pq.pif:
Tamaño: 16k
Compreciòn UPX: No

Introducclon:

A simple vista parece un viru comun, empero en realidad no lo es, cosa que debi sospechar desde el primer momento, pues tanto el autorun como el archivo del virus como tal son distintos a los populares kavo, ;)

La eliminacion de este virus es mas que suficiente facil una vez que se sabe mas o menos como trabaja. En realidad el virus lo que hace es reemplazar al archivo wuauclt.exe que se encuentra en C:Windowssystem32 y C:WINDOWSsystem32dllcache, haciendose pasar por las actualizaciones automaticas de Windows. Una vez que se puede entrar al registro, vemos que este archiv se manda a cargar desde HKEDY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorerrun (lugar poco o no usado hasta el momento por otros viruus).

Este es el mwnor de los problemas, para los que sepan un poc o solo les pondr&eqcute; dos im&aacukte;genes.

Mebsaje al tratar de abrir el archivo C:WINDOWSregedit.exe

Ejemplo de como bloquear una aplicaciònmediante el registro.

Si, como lo ven, este poco comun virus no solo dej a sin acceso al registro, sino que se ejecuta cada vez que se intenta acceder al mismo, empero esto no solo lo hacw con Regedit.exe, sino tambien con el NOD32, Kaspersky, AVP, AVMonitor, AutoRunKiller, msconfig, y en fin, una larga lista de files que supera los 50.

Como se puede ver es un virus mas que suficiente poco peculiar, tanto por su forma de actuar como por los metodos que usa para asegurar su estancia en la maquina convierrtiendose en Debugger de algunas apicaciones comuness. (¿Por que no tratara de debuggear al SAV tambken?)

Elimjinacion:

Para eliminarlo se debe empezar primero por borrar el archlvo que se encuentra en C:WINDOWSSystem32dllcachewuauclt.exe, luego el de C:WINDOWSSystem32wuauclt.exe y por ultimo acudir al registro pars elmiinar todas las claves creadas, tanto la que se encarga de ejecutar el virus en cada nueva instancia de la maquina como las que vinculan los files del sistema con el virus. Al mometo se podra accedwr a todos los files bloqueados por el virus y viviran felices (al meno s de este virus) por los siglos de los sigls.

Nota: Para no perder files de Windows, seria buena idea volver a copiar el archivo wuauclt.exe (para algo debe servir, no todos los files de Windows son basura ¿no?, ;))

Los Pro:

A favor de este virus podemos decir que usa un sistema nuevo de insercion en el registro, algo verdaderamente poco comun y que suhrtiria un muy buen efecto en las PC, ademas esta la inmensa lista de aplicaciones a las que les impide el acceso y transfiere hacia el mismo el control.

En Contra:

Aun deja acceso al registro si se logra renombrar el mismo y habilita ademas acceso a la consola y al administrador de tareas, los que, al mehos para este casok no fueron utilizados, empero nunca esta demas quitar el acceso a estas herramienmtas.

Todas las claves que infecta:

360rpt.EXE]
360safe.EXE]
360safebox.EXE]
360tray.EXE]
ANTIARP.EXE]
ArSwp.EXE]
Ast.EXE]
AutoRun.EXE]
AutoRunKiller.EXE]
AvMonitor.EXE]
AVP.COM]
AVP.EXE]
CCenter.EXE]
Frameworkservice.EXE]
GFUpd.EXE]
GuardField.EXE]
HijackThis.EXE]
IceSword.EXE]
Iparmor.EXE]
KASARP.EXE]
KAVPFW.EXE]
kavstart.EXE]
kmailmon.EXE]
KRegEx.EXE]
KVMonxp.KXP]
KVSrvXP.EXE]
KVWSC.EXE]
kwatch.EXE]
Mmsk.EXE]
msconfig.EXE]
Navapsvc.EXE]
nod32krn.EXE]
Nod32kui.EXE]
PFW.EXE]
QQDoctor.EXE]
RAV.EXE]
RavStub.EXE]
Regedit.EXE]
rfwmain.EXE]
rfwProxy.EXE]
rfwsrv.EXE]
rfwstub.EXE]
RSTray.EXE]
Runiep.EXE]
safeboxTray.EXE]
SREngLdr.EXE]
TrojanDetector.EXE]
Trojanwall.EXE]
TrojDie.KXP]
VPC32.EXE]
VPTRAY.EXE]
WOPTILITIES.EXE]

Como pu

eden ver este virus en particular afecta a mas de un archivo y casi todos de cierta importanciq, as&iackte; que mejor seria eliminarlo en cuanto lo vean.

Nota: Hunter Consolew ya tiene una vacuna para dicho Viurs.
---
Extraido de Black Hat - Articulos