elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Nuevas versiones del malware de la policía y cómo eludirlas
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Nuevas versiones del malware de la policía y cómo eludirlas  (Leído 8,687 veces)
wolfbcn


Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Nuevas versiones del malware de la policía y cómo eludirlas
« en: 24 Mayo 2012, 13:42 pm »

Sí, el virus de la policía sigue activo e infectando a usuarios. Lo interesante es que continúa evolucionando. Veremos en esta entrada qué novedades traen las últimas versiones, y cómo recuperar el control del sistema de manera muy sencilla si ha quedado infectado.
 
 El malware de este tipo que secuestra el sistema, parece dar pasos en falso. A veces avanzan las técnicas de manera muy efectiva, y otras simplemente empeoran la efectividad de su producto. Veremos ahora algunos ejemplos.

La nueva moda es distribuir este tipo de troyanos en forma de DLL. Una librería de Windows no es más que un ejecutable, en realidad. De hecho, su "magic number" es el mismo, MZ. ¿Cómo se ejecuta una DLL? Existen dos formas, con regsvr32.exe (pasándole como parámetro la DLL) o con rundll32.exe, pasándole como parámetro la DLL y además, una función que se encuentre dentro.

 

¿Y si no conocemos la función dentro de la DLL? No importa. Se invocará al main (la rutina de iniciación principal) de la DLL y ejecutará su código igualmente. Por tanto, realmente el segundo parámetro de rundll32, en este caso, da igual. Para una víctima, esto es irrelevante puesto que todo el código (sea en forma de ejecutable o DLL) se ejecutará a través de vulnerabilidades.

 Una vez lanzado el malware, se copia a la carpeta de inicio del usuario. En ella introduce un enlace (.lnk) que apunta al lanzamiento de la DLL.

 

 No os dejéis engañar por la extensión (modificada por el troyano). Police.exe sigue siendo una DLL, no un ejecutable. Posicionándose en la carpeta de inicio, es fácilmente eludible, puesto que simplemente se puede arrancar con otro usuario o bien en modo a prueba de fallos. Pero veremos otra manera de eludir el troyano más adelante.

 

¿Por qué distribuirse en forma de DLL?

Puede tratarse de un intento de despiste para los antivirus. Al ser lanzado como parámetro de un programa legítimo (rundll32.exe, que seguro se encuentra en las listas blancas de todos los motores), cabe la posibilidad de que algún antivirus se "relaje". Una vez en memoria, el troyano estará a salvo del antivirus.

Otra razón que se nos ocurre es por intentar evitar las sandboxes que ejecutan automáticamente malware. Casas antivirus, investigadores, sandoboxes públicas, etc, suelen contar con máquinas que lanzan automáticamente los ejecutables con la idea de estudiarlos y tener una primera aproximación del comportamiento de la muestra. Si es sospechoso pasa a un análisis manual. En principio, una DLL con extensión de ejecutable daría error de ejecución, y por tanto se tomaría de forma automática como ejecutable corrupto, a no ser que el sistema esté específicamente diseñado para comprobar que se trata de una DLL y lanzarla como tal, cosa que no ocurre normalmente...…

Internet Explorer en modo kiosko, cómo eludirlo

Una vez lanzado el malware, encontramos otra novedad. Ahora, en vez de mostrar una aplicación sin bordes que ocupe toda la pantalla, o un BMP que impide acceder al escritorio, se cierran todas las aplicaciones abiertas y se lanza un Internet Explorer en modo kiosko. Esta es una opción legítima del navegador, diferente a pantalla completa, que permite navegar sin acceso al sistema y con muchas otras restricciones. Cualquiera puede probarlo lanzando en el sistema el comando:

C:\Program Files\Internet Explorer>iexplore.exe k

Desde este punto, escapar del troyano se reduce a intentar escapar del modo kiosko. El troyano, aunque intenta restringir de varias formas el acceso a la máquina, no lo consigue. De hecho, es perfectamente posible escapar con sencillos pasos. Algo que que se puede hacer es desconectar la máquina de Internet, para que la visita a la web que aloja la imagen que bloquea el sistema no pueda ser accedida. De esta manera Internet Explorer dará un error de conexión. En XP, por ejemplo, se puede aprovechar el diagnóstico de conexión, en el apartado de más información.

 

 
 Aunque, a causa de las restricciones impuestas por el troyano, no se podrá acceder al disco libremente.

 

Aun así, poco después de aparecer este error, Internet Explorer dejará de funcionar, se podrá recuperar el escritorio.


En Windows 7 todavía es más sencillo. Se puede usar por ejemplo el menú contextual del envío de correo por Mail.

 

Y, en ese nuevo navegador, ir hacia [font="Courier New",Courier,monospace]c:\windows\system32[/font] y ejecutar un explorador.

 


FUENTE :http://unaaldia.hispasec.com/2012/05/nuevas-versiones-del-malware-de-la.html


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
jmetin2

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: Nuevas versiones del malware de la policía y cómo eludirlas
« Respuesta #1 en: 2 Septiembre 2012, 06:41 am »

gracias por el dato amigo.

Aora debo revisar mi equipo en caso de estar infectado  :xD


En línea

Empezando a programar en MASM32
kstromeiraos

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Nuevas versiones del malware de la policía y cómo eludirlas
« Respuesta #2 en: 26 Enero 2013, 21:28 pm »

Buen aporte, gracias.
En línea

capitan007

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Nuevas versiones del malware de la policía y cómo eludirlas
« Respuesta #3 en: 17 Febrero 2013, 16:43 pm »

muchas gracias por el aporte!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Nuevas versiones de PHP solucionan varios fallos de seguridad
Noticias
wolfbcn 0 1,562 Último mensaje 27 Julio 2010, 13:33 pm
por wolfbcn
Se filtran las nuevas versiones de Motorola Atrix y Xoom
Noticias
wolfbcn 0 2,262 Último mensaje 21 Septiembre 2011, 14:54 pm
por wolfbcn
OpenOffice confirma dos nuevas versiones para 2012
Noticias
wolfbcn 1 1,858 Último mensaje 30 Diciembre 2011, 07:00 am
por Randomize
Nuevas versiones de SpyEye graban imágenes de sus víctimas
Noticias
wolfbcn 0 1,631 Último mensaje 23 Mayo 2012, 14:13 pm
por wolfbcn
Policía de Taiwán reparte pendrives con malware en evento de ciberseguridad
Noticias
wolfbcn 0 2,379 Último mensaje 10 Enero 2018, 21:36 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines