Durante ese análisis nos encontramos con un pequeño “incoveniente”, como era que el bichito una vez infectaba el equipo creaba un servicio, por lo que debíamos depurar un servicio de Windows. Para ello le preguntamos al todo poderoso Google y nos llevó hacia una guía que ha sido de mucha utilidad para poder depurar el servicio creado por Asprox. A continuación les pongo el proceso que hemos seguido nosotros para depurar un servicio con Ollydbg:
    1. Configurar las opciones de “ejecución del archivo de imagen”, para ello hemos utilizado el metodo 1 de la guía (Yo he instalado el paquetedbg_x86_6.11.1.402.msi que contiene gflags.exe). A continuación les mostramos las opciones que he activado:

  • El siguiente paso es permitir que el servicio interactúe con el escritorio bajo cuenta del sistema:

  • Por último subir el tiempo de espera del Administrador de control, el cual tiene un tiempo máximo en el cual el servicio debe haberse iniciado (vamos un timeout). Como vamos a estar trasteando y depurando lo aumentaremos un poco.
  • Por último tendremos que reiniciar (sí, es necesario reiniciar) y ya podremos arrancar nuestro servicio (bichito en este caso) junto con Ollydbg para poderlo analizar con detenimiento.