Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- windows:virus:test.au3 [06/10/2019 04:27] – creat mate
+++ windows:virus:test.au3 [06/10/2019 09:37] (actual) – [especimen] mate
@@ Línia 1: / Línia 1: @@
 = test.au3
-== localización
+== especimen
+  * encontrado en Minerva
+  * keylogger
+  * data mining
+  * oculta su presencia en el explorador de tareas (usar alternativa - herramientas)
+  * posible punto de entrada: USB con fichero **Archivos.lnk** y **explorer.vbe**
+    * parece que mueve el contenido del USB a una carpeta **usbdata** oculta y permite el acceso a esa carpeta a través del link que monta en la raiz, que evidentemente ejecuta el .vbe
+  * Antivirus Windows, Avira, Malware Bytes, Clam no lo detectan como malicioso
+== localización física
   * HKCU/Microsoft/Windows/CurrentVersion/Run
   * carpeta inicio: ''shell:startup'' -> **c:\users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup**
   * carpeta oculta: **c:\<NOMBRE_EQUIPO>**
   * carpeta oculta: **c:\programData\<sha1>**
+  * carpeta oculta: (capturas log + mining): **c:\users\<user>\appData\Roaming\<sha1>**
+== herramientas
+  * [[https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer|Process Explorer]], Sysinternals
+  * [[https://cmder.net|cmder]], CMD mejorado, portable
+  * [[https://www.nodesoft.com/foldermonitor|foldermonitor]]: monitoriza cambios en un directorio y/o subdirectorios
+  * DeskDrive, montar unidades USB en escritorio
+== extirpación
+  * eliminar procesos **systeminfo**, **vbc**, mirando previamente su ubicación
+  * eliminar localizaciones físicas
+  * eliminar claves registro (buscar **test.au3**)