En esta primera parte vamos analizar el ejecutable con un editor Hexadecimal para ver como esta compuesto el mismo, en este caso el ejecutable aparenta ser un Keygen pero... Realmente lo Sera? Veamos.



Bueno Aca Tendremos 2 cuadros Son los mismo, represantan lo mismo con la unica diferencia que uno podremos leer xD, que es el de la derecha.



Los ExitProcess, Kernel32.dll, esos son offset que son fundamentales para el funcionamiento del archivo

Bien Comunmente un archivo malicioso se compone minimo de:

-Una IP o No-Ip que son para redireccionar a ellos
-Modificaciones en el Registro
-Procesos a Injectarse

Bien empezemos a Explorar el Archivo, vemos que no hay nada sospechoso. Seguimos Mirando.....



STOP!!!, Nos encontramos con esto:



Y Aca pensamos: para que queria un Supuesto keygen, tener una No-IP, crear entradas en el Registro y para que queria utilizar los archivos:

SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar y/o Crear

Ya con esto nos damos cuenta de que no es un simple "Keygen", Pero sigamos investigando

Vemos que crean 2 entradas mas Pero ¿Que Son?



Ya con esto podemos Sacar la conclusion de que no es un keygen y es solo un Troyano para poder manipularnos la pc.

Pero Con Estos Nombres:

SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar y/o Crear

¿Que sabremos que hace cada uno? Veamoslo, si todo lo que comprobamos es verdad.

En mi caso lo voy a ejecutar en mi pc, pero les recomiendo que lo ejecuten en una maquina virtual para que no les afecte en nada.

Archivo Ejecutado, Veamos en las carpetas System, System32 o otras comunes si se produjo un cambio:

Sorpresa!, 2 Archivos "SisNet" Aparecieron en C:\Windows

SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar




Listo, pero si tenia el Msn cerrado en que proceso se injecto?

La mayoria de los RAT al fallar en el proceso de injeccion, se injectan en el iexplore, o FireFox. Miren:



Ahora Veamos si realmente Se inicia en Nuestro sistema para eso vamos a Inicio> Ejecutar y vamos a la ruta que nos indicaba el Editor Hexadecimal.



Y Si, nos encontramos con el mismo SisNet. que se nos habia creado.

Lo Ven? Ahora solo tendremos que entrar a modo seguro al sistema y elimar los 2 Archivos y las entradas Wink.

Ya Con la No-Ip en nuestras manos podemos denunciarla por abuso, para eso nos dirigimos a la pagina de no-ip.com para realizar la denuncia este es el enlace directo:

http://www.no-ip.com/company/contact-us



Luego Ya se eliminara esa cuenta de no-ip y la persona que nos controlaba con su troyano no podra hacerlo mas.

Autor: TokioDrift

Fuente: PortalHacker.net

[OFFTOPIC]
Estuve dudando si poner el tutorial aqui, o en la sección de seguridad...si algún Mod considera que está mejor en Seguridad, que lo mueva 
[/OFFTOPIC]

Justamente lo que he pensado al mirar el tutorial, y si las cadenas están cifradas? De todas formas también en el tutorial se da como supuesto que el troyano se copia en claves de autoarranque...puede ser que la lea y no se copie y por eso sale el string, eso se debería justificar posteriórmente con el análisis dinámico que lo hace al final.

Por cierto, no sabia que se podían reportar cuentas no-Ip, me voy a pegar un jarton de reportes   

Bueno, el tuto esta bien redactado y aunque no era precisamente lo que andaba buscando. De cierto modo me impulso a investigar más sobre el tema. No cabe duda que siempre se aprende algo nuevo.

Por muy pequeña que sea la curiosidad, basta con seguir aportando al foro. Salu2