Indetectables

Indetectables es una Comunidad de Hacking, Seguridad Informática, Impresión 3d y Desarrollo
./index.php?sid=cf68e53869dbd0a086bdd492a6d15af9

simple crypter 1/35

https://www.indetectables.net/viewtopic.php?t=54093

Página 1 de 1

simple crypter 1/35

Publicado: 23 Sep 2015, 12:17
por UltraNick
SIMPLE CRYPTER 1/35


[Enlace externo eliminado para invitados]

[Enlace externo eliminado para invitados]
rar pass: 1234567

Re: simple crypter 1/35

Publicado: 28 Sep 2015, 06:34
por hackerdeinternet
creo que para ser un crypter 1/35 no deberias haberle puesto una contraseña tan facil de acceder, saludos!

Re: simple crypter 1/35

Publicado: 07 Nov 2015, 17:24
por SadFud
Analisis
- Sin conexiones
- Sin drops
- Sin procesos creados
- Sin inyecciones
- Sin autoinicio

En un principio me parecio que estaba todo bien, pero hay 4 modificaciones en el registro que no termino de entender
HKU\S-1-5-21-2052111302-1202660629-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "jihgfdceba"
HKU\S-1-5-21-2052111302-1202660629-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*\MRUList: "ajihgfdceb"
HKU\S-1-5-21-2052111302-1202660629-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe\MRUList: "edbajihcgf"
HKU\S-1-5-21-2052111302-1202660629-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe\MRUList: "fedbajihcg"
El tema es que hay un virus que tambien modifica valores parecidos en el registro, es el RDN/Generic.dx!, segun McAfee 
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMDLG32\OPENSAVEMRU\*\C = [binary data]
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMDLG32\OPENSAVEMRU\*\MRULIST = cba
Esa es la unica duda que tengo sobre si esta limpio o no, de momento espero alguna segunda opinion.

Saludos
Todos los horarios son UTC+02:00
Página 1 de 1

© Indetectables Team

Desarrollado por Indetectables LAB