martes, 6 de marzo de 2012

Más información sobre el virus de la policía


La expansión de la familia de este malware se ha convertido en una campaña que abarca a diferentes países europeos. Veamos algunas investigaciones que hemos realizado mi compañero Emiliano Martínez y yo sobre esta verdadera epidemia que están sufriendo los usuarios de Windows en los últimos días.

Abarca diferentes países

Una de las variantes descarga la imagen que va a mostrar en pantalla desde un servidor remoto. Hemos encontrado uno y comprobado qué imágenes aloja. Para mostrar la IP de la víctima en la imagen, usa el parámetro:

http://xxx.xxx.xxx.xxx/loc/gate.php?getip=getip

Y, de forma independiente, el servidor calcula el país según la dirección IP también, y así muestra diferentes imágenes. Las que hemos localizado son (por código de país) AT, DE, ES, FR, GB, IT, alojadas en:

http://xxx.xxx.xxx.xxx/pic/ES.bmp


Para tomar la imagen, hace una petición del tipo

http://xxx.xxx.xxx.xxx/loc/gate.php?getpic=getpic

Si a este GET, el servidor devuelve un "del" en texto claro, el troyano borrará la clave de registro que lo lanza al inicio del sistema operativo y matará la instancia activa. Los archivos permanecerán en el disco, pero al menos no se ejecutarán.

Un usuario infectado con un malware que acuda a una infraestructura caída, no notará nada en el sistema, puesto que no podrá acudir a descargar la imagen. Las sucesivas imágenes mostradas las hará desde el sistema local (no acude más que una vez a descargarlas).

Actualizaciones

El troyano hace una actualización periódica en dos pasos: primero acude a:

http://xxx.xxx.xxx.xxx/loc/gate.php?user=1&upg=upg

donde encuentra una URL desde la que realmente descargar el binario actualizado. Este se encontrará en

http://xxx.xxx.xxx.xxx/files/ABCD.exe

donde ABCD.exe es el nombre del usuario infectado. El nombre del ejecutable es así generado dinámicamente según el nombre de usuario de la víctima.

Se nos ocurre que esto podría ser aprovechado por ejemplo en una gran empresa, para desinfectar a los usuarios. Si canalizan el dominio o IP fraudulento hacia otro ejecutable que controle el administrador, podrían todas las máquinas acudir directamente al archivo y lanzarlo para eliminar el troyano. También se podría aprovechar la opción "del" que el programador ha incluido para eliminar las claves del registro que llaman al troyano.


Más información:


una-al-dia (21/06/2011) Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico
http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html

una-al-dia (28/02/2012) Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html

una-al-dia (02/03/2012) El virus de la policía "evoluciona" e impide el acceso en modo seguro
http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017