En esta primera parte vamos analizar el ejecutable con un editor Hexadecimal para ver como esta compuesto el mismo, en este caso el ejecutable aparenta ser un Keygen pero... Realmente lo Sera? Veamos.
Bueno Aca Tendremos 2 cuadros Son los mismo, represantan lo mismo con la unica diferencia que uno podremos leer xD, que es el de la derecha.
Los ExitProcess, Kernel32.dll, esos son offset que son fundamentales para el funcionamiento del archivo
Bien Comunmente un archivo malicioso se compone minimo de:
-Una IP o No-Ip que son para redireccionar a ellos
-Modificaciones en el Registro
-Procesos a Injectarse
Bien empezemos a Explorar el Archivo, vemos que no hay nada sospechoso. Seguimos Mirando.....
STOP!!!, Nos encontramos con esto:
Y Aca pensamos: para que queria un Supuesto keygen, tener una No-IP, crear entradas en el Registro y para que queria utilizar los archivos:
SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar y/o Crear
Ya con esto nos damos cuenta de que no es un simple "Keygen", Pero sigamos investigando
Vemos que crean 2 entradas mas Pero ¿Que Son?
Ya con esto podemos Sacar la conclusion de que no es un keygen y es solo un Troyano para poder manipularnos la pc.
Pero Con Estos Nombres:
SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar y/o Crear
¿Que sabremos que hace cada uno? Veamoslo, si todo lo que comprobamos es verdad.
En mi caso lo voy a ejecutar en mi pc, pero les recomiendo que lo ejecuten en una maquina virtual para que no les afecte en nada.
Archivo Ejecutado, Veamos en las carpetas System, System32 o otras comunes si se produjo un cambio:
Sorpresa!, 2 Archivos "SisNet" Aparecieron en C:\Windows
SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar
Listo, pero si tenia el Msn cerrado en que proceso se injecto?
La mayoria de los RAT al fallar en el proceso de injeccion, se injectan en el iexplore, o FireFox. Miren:
Ahora Veamos si realmente Se inicia en Nuestro sistema para eso vamos a Inicio> Ejecutar y vamos a la ruta que nos indicaba el Editor Hexadecimal.
Y Si, nos encontramos con el mismo SisNet. que se nos habia creado.
Lo Ven? Ahora solo tendremos que entrar a modo seguro al sistema y elimar los 2 Archivos y las entradas Wink.
Ya Con la No-Ip en nuestras manos podemos denunciarla por abuso, para eso nos dirigimos a la pagina de no-ip.com para realizar la denuncia este es el enlace directo:
http://www.no-ip.com/company/contact-us
Luego Ya se eliminara esa cuenta de no-ip y la persona que nos controlaba con su troyano no podra hacerlo mas.
Autor: TokioDrift
Fuente: PortalHacker.net
[OFFTOPIC]
Estuve dudando si poner el tutorial aqui, o en la sección de seguridad...si algún Mod considera que está mejor en Seguridad, que lo mueva
[/OFFTOPIC]