Autor
Nuestro compañero Marcin "Icewall" Noga ha estudiado en profundidad el troyano, y descubierto algunas curiosidades. El informe completo puede ser descargado desde
http://www.hispasec.com/laboratorio/Troyano_policia.pdf
Aunque contiene parte de código a bajo nivel que puede asustar a algunos usuarios menos técnicos, recomendamos su lectura porque hemos intentando explicar su comportamiento. Contiene además el algoritmo que comprueba qué códigos son válidos (con lo que podemos deshacernos del troyano de manera más eficiente), además de otras curiosidades. Vamos a resumirlas:
- Si se paga el rescate, se crea el fichero "pinok.txt" en el mismo directorio con el código usado para haber realizado el pago. El troyano no comprueba el contenido del fichero, solo su existencia, por tanto si se crea un fichero pinok.txt vacío, el troyano pensará que se ha pagado el rescate.
- Hemos creado un generador de códigos válidos.
- El troyano acepta un pin universal que hará que se desbloquee: 1029384756.
- El troyano inyecta en Explorer.exe todo su cuerpo, y no sólo el código que necesitaría para funcionar en su interior.
- El troyano contiene evidencias de código de control, que se ha "olvidado" mientras se programaba.
- El creador ha preparado un comando que le permite eliminar el agente de todas sus víctimas. "del".
- Los procesos que intenta anular constantemente en el equipo son: taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y narrator.exe
El estudio está disponible desde:
http://www.hispasec.com/laboratorio/Troyano_policia.pdf
Además del estudio técnico, hemos investigado sobre su creador. Intentaremos hablar de esto en los próximos días.
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv
FUENTE :http://unaaldia.hispasec.com/2012/03/whitepaper-estudio-tecnico-del-troyano.html
En línea
