El inspector Cocus, jeje
che nombraste un par de herramientas interesantes, depues me tenes que explicar como ves en la memoria el archivo en ejecucion yo generalmente uso el WinHex me enumera todas las dll y me pone Memoria primaria, Memoria secundaria y Rango Var.
en cual es la que te fijas?.
El virus en si, se propaga todo lindo, pero se puede decir que no hace nada, es muy poca la info que envia "aparentemente".
Bue cha
jajaja q hdp.
El anubis creo que ya la mayoria lo conocen; es un sandbox, que ejecuta un programa en un servidor, y le hace un analisis de todo lo que hace.
Bueno para el tema de la conexion, use el Proccess explorer, que en las propiedades de cada proceso tenes la pestaña TCP/IP que muestra las conexiones. Tambien podes ver los strings en memoria desde este mismo cuadro.
Despues, para leer la imagen, use el LordPE; simplemente lo use, porque en el ejecutable original, habia una parte que decia LordPE y pense que estaba comprimido con esto. Al final, el LordPE no comprime nada, pero ya que estabamos guarde la memoria del programa a un .txt (o eso creo que hice)
Ah y yo imagino que debe enviar mas data, el tema es que tiene que haber algun *administrador* en el canal IRC que indique alguna accion.
saludos
