elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  WhitePaper: Estudio técnico del troyano de la policía
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: WhitePaper: Estudio técnico del troyano de la policía  (Leído 2,177 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
WhitePaper: Estudio técnico del troyano de la policía
« en: 20 Marzo 2012, 13:34 pm »

Hemos realizado un estudio técnico detallado del malware de la policía. De esta forma hemos podido comprobar cómo se generan los códigos válidos para eliminarlo, además de algunas curiosidades sobre su funcionamiento.

 

Nuestro compañero Marcin "Icewall" Noga ha estudiado en profundidad el troyano, y descubierto algunas curiosidades. El informe completo puede ser descargado desde

http://www.hispasec.com/laboratorio/Troyano_policia.pdf

Aunque contiene parte de código a bajo nivel que puede asustar a algunos usuarios menos técnicos, recomendamos su lectura porque hemos intentando explicar su comportamiento. Contiene además el algoritmo que comprueba qué códigos son válidos (con lo que podemos deshacernos del troyano de manera más eficiente), además de otras curiosidades. Vamos a resumirlas:

 
  • Si se paga el rescate, se crea el fichero "pinok.txt" en el mismo directorio con el código usado para haber realizado el pago. El troyano no comprueba el contenido del fichero, solo su existencia, por tanto si se crea un fichero pinok.txt vacío, el troyano pensará que se ha pagado el rescate.
     
  • Hemos creado un generador de códigos válidos.
     
     
  • El troyano acepta un pin universal que hará que se desbloquee: 1029384756.
     
  • El troyano inyecta en Explorer.exe todo su cuerpo, y no sólo el código que necesitaría para funcionar en su interior.
     
  • El troyano contiene evidencias de código de control, que se ha "olvidado" mientras se programaba.
     
  • El creador ha preparado un comando que le permite eliminar el agente de todas sus víctimas. "del".
     
  • Los procesos que intenta anular constantemente en el equipo son: taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y narrator.exe


El estudio está disponible desde:

http://www.hispasec.com/laboratorio/Troyano_policia.pdf

Además del estudio técnico, hemos investigado sobre su creador. Intentaremos hablar de esto en los próximos días.

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

FUENTE :http://unaaldia.hispasec.com/2012/03/whitepaper-estudio-tecnico-del-troyano.html


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
asunto de crack tecnico!!
Ingeniería Inversa
alanex 1 2,221 Último mensaje 18 Septiembre 2003, 13:10 pm
por byebye
Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional .... « 1 2 ... 6 7 »
Noticias
wolfbcn 67 48,896 Último mensaje 15 Marzo 2012, 20:13 pm
por annyknight
Whitepaper: Bypassing Antivirus with a Sharp Syringe
Hacking
x4r0r 0 2,009 Último mensaje 22 Octubre 2012, 05:07 am
por x4r0r
duda whitepaper o readme
Dudas Generales
General Dmitry Vergadoski 2 2,386 Último mensaje 29 Mayo 2018, 17:19 pm
por Machacador
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines