Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: Jaixon Jax en 26 Octubre 2010, 16:59 pm



Título: Infeccion de dispositivos USBs mediante archivos LNK
Publicado por: Jaixon Jax en 26 Octubre 2010, 16:59 pm
  Bueno la era Autorun.inf creo que esta llegando a su fin  :-( en mi proyecto genero un autorun con ofuscacion aleatoria que solo era detectado por 3 AV entre ellos AVAST me parecia bien hasta que probe los 3 AV en otro pc de prueba con mi autorun los otros dos lo unico que hacen es borrar el autorun pero AVAST .... por heuristica  busca la ruta del exe en el autorun y lo detecta como Troyan Horse  :¬¬ no solo eso sino que borra todas las copias del exe en el pendrive  :) y al final aparece una ventanita diciendo si el usuario aceptaria enviar las muestras a AVAST para su analisis  :o si fuera una copia de PI o Biefrost no importara pero mi proyecto es 100% fud y eso no me gustaria para nada ......... Y es por mera heuristica ya que si copio el server en el Pen drive sin el autorun Avast no lo detecta  :P ........

  Me puse a investigar y lei un articulo sobre Stuxnet especificamente sobre la infeccion de dispositivos USB con LNKs y me parecio muy interesante  :rolleyes: basicamente consiste en subir el server a algun webhosting y generar un acceso directo a esa url, ese acceso directo  se podria bindear con el server y cada vez que detecte un Dispositivo copiaria el acceso directo al pendrive con algun nombre llamativo o con algun nombre relacionado con los directorios u archivos del pendrive  :) de alguna manera stuxnet hace que el acceso directo se active cuando se accede al pendrive pero basicamente funciona ...  ;D

   No se si alguien sabra algo mas para compartir? ...

  Saludos ....


Título: Re: Infeccion de dispositivos USBs mediante archivos LNK
Publicado por: [L]ord [R]NA en 26 Octubre 2010, 17:17 pm
Código:
http://www.h-online.com/security/news/item/Exploit-demonstrates-critical-Windows-lnk-vulnerability-1040285.html


Título: Re: Infeccion de dispositivos USBs mediante archivos LNK
Publicado por: XcryptOR en 26 Noviembre 2010, 19:49 pm
Es de la forma en que lo ahce el stuxnet, aprovechandose de la vulnerabilidad MS10-046 en los LNK.


Título: Re: Infeccion de dispositivos USBs mediante archivos LNK
Publicado por: Elemental Code en 28 Noviembre 2010, 23:50 pm
un virus que encontre en una pc de la escuela estaba fantastico

tomaba el icono de una carpeta de las librerias de windows y se replicaba en el pendrive bajo el nombre de las carpetas originales y ocultaba las carpetas "reales"

Entonces, cuando vos le dabas doble click a lo que vos creias era una carpeta, el virus con forma de carpeta abria la carpeta en cuestion y se propagaba :D

estuve pensando en hacer algo asi, pero si renombran el virus, pensando que es la carpeta, la carpeta original no cambiaria de nombre y se complicaria un poco, no?

Saludos
PD: si tengo la chance capaz que consigo un especimen vivo de eso para ver si le hacen ingenieria inversa.


Título: Re: Infeccion de dispositivos USBs mediante archivos LNK
Publicado por: Stelio Kontos en 1 Diciembre 2010, 02:25 am
Hace tiempo se desubrió una vulnerabilidad que explotaba una falla en la estructura de los archivos de acceso directo (*.lnk), hay muchas referencias, incluso una de que habla a cerca de cómo explotarla con Metasploit (http://comunidad.dragonjar.org/f184/explotar-vulnerabilidad-lnk-de-windows-con-metasploit-10302/).