20 de marzo de 2012

ESTUDIO TÉCNICO DEL TROYANO DE LA POLICÍA [ WhitePaper ]

Hispasec ha realizado un estudio técnico detallado del malware de la policía que ha determinado cómo se generan los códigos válidos para eliminarlo, además de algunas curiosidades sobre su funcionamiento.
Resumen de características y curiosidades del estudio publicado:
  1. Si se paga el rescate, se crea el fichero "pinok.txt" en el mismo directorio con el código usado para haber realizado el pago. El troyano no comprueba el contenido del fichero, solo su existencia, por tanto si se crea un fichero pinok.txt vacío, el troyano pensará que se ha pagado el rescate.
  2. Han creado un generador de códigos válidos.
  3. El troyano acepta un pin universal que hará que se desbloquee: 1029384756.
  4. El troyano inyecta en Explorer.exe todo su cuerpo, y no sólo el código que necesitaría para funcionar en su interior.
  5. El troyano contiene evidencias de código de control, que se ha "olvidado" mientras se programaba.
  6. El creador ha preparado un comando que le permite eliminar el agente de todas sus víctimas. "del".
  7. Los procesos que intenta anular constantemente en el equipo son: taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y narrator.exe
Más información 
http://www.hispasec.com/laboratorio/Troyano_policia.pdf
Fuente: Hispasec

“Fileless” EL VIRUS QUE SE INSTALA EN LA MEMORIA RAM

Se ha detectado un malware que inyecta un “dll cifrado” de la web directamente en la memoria del proceso javaw.exe.

Sistemas afectados:
  • Tanto Windows como MacOS están expuestos al exploit, ya que es muy difícil su detección por programas antivirus.
Operativa del malware 
  • Una vez en el equipo, el malware intenta atacar al Windows User Account Control para instalar el troyano Lurk y conectarse a una botnet asociada.
  • Este intento de instalación es fundamental, ya que de lo contrario no podría sobrevivir a un reinicio del sistema. 
Paises afectados y virus implicados:
  • De momento los ataques han sido interceptados en Rusia, pero los analistas no descartan que puedan extenderse, ya que puede distribuirse a través de banners.
  • Además puede que se distribuyan otros tipos de malware y que no sólo se utilice el Trojan-Spy.Win32.Lurk en el proceso.
Más información
  • The register  [   http://www.theregister.co.uk/2012/03/18/fileless_malware_found/   ]
  Fuente: www.theinquirer.es