domingo, 18 de marzo de 2012

WhitePaper: Estudio técnico del troyano de la policía

Hemos realizado un estudio técnico detallado del malware de la policía. De esta forma hemos podido comprobar cómo se generan los códigos válidos para eliminarlo, además de algunas curiosidades sobre su funcionamiento.

Nuestro compañero Marcin "Icewall" Noga ha estudiado en profundidad el troyano, y descubierto algunas curiosidades. El informe completo puede ser descargado desde
http://www.hispasec.com/laboratorio/Troyano_policia.pdf

Aunque contiene parte de código a bajo nivel que puede asustar a algunos usuarios menos técnicos, recomendamos su lectura porque hemos intentando explicar su comportamiento. Contiene además el algoritmo que comprueba qué códigos son válidos (con lo que podemos deshacernos del troyano de manera más eficiente), además de otras curiosidades. Vamos a resumirlas:

  • Si se paga el rescate, se crea el fichero "pinok.txt" en el mismo directorio con el código usado para haber realizado el pago. El troyano no comprueba el contenido del fichero, solo su existencia, por tanto si se crea un fichero pinok.txt vacío, el troyano pensará que se ha pagado el rescate.
      
  • Hemos creado un generador de códigos válidos.
      
  • El troyano acepta un pin universal que hará que se desbloquee: 1029384756.
      
  • El troyano inyecta en Explorer.exe todo su cuerpo, y no sólo el código que necesitaría para funcionar en su interior.
      
  • El troyano contiene evidencias de código de control, que se ha "olvidado" mientras se programaba.
      
  • El creador ha preparado un comando que le permite eliminar el agente de todas sus víctimas. "del".
       
  • Los procesos que intenta anular constantemente en el equipo son: taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y narrator.exe

El estudio está disponible desde:
http://www.hispasec.com/laboratorio/Troyano_policia.pdf

Además del estudio técnico, hemos investigado sobre su creador. Intentaremos hablar de esto en los próximos días.

Más información:

El malware de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito"
http://unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un.html

una-al-dia (21/06/2011) Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico
http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html

una-al-dia (28/02/2012) Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html

una-al-dia (02/03/2012) El virus de la policía "evoluciona" e impide el acceso en modo seguro
http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html

una-al-dia (06/03/2012) Más información sobre el virus de la policía
http://unaaldia.hispasec.com/2012/03/mas-informacion-sobre-el-virus-de-la.html


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Etiquetas: , ,

9 comentarios:

  1. Anónimo20 de marzo de 2012, 13:15

    Como siempre Sergio, impresionante.
    Gracias por vuestro trabajo.

    ResponderEliminar
  2. Anónimo21 de marzo de 2012, 12:09

    Gracias a gente como tu estamos casi protegidos de tanto desaprensivo que podrian utikizar su talento para hacer bien al projimo y no destruir el trabajo, pero el dinero es lo que les mueve.
    Un saludo y gracias

    ResponderEliminar
  3. Anónimo22 de marzo de 2012, 9:21

    Hola, muy interesante, ¿pero dónde se debe crear el fichero pinok,txt?

    Saludos

    ResponderEliminar
    Respuestas
    1. Ano´nimo24 de marzo de 2012, 16:03

      Me imagino que en seguirá utilizando la variable de entorno %APPDATA% donde crea el directorio llamado “Kodak”...

      Según el artículo:

      -> en Windows XP:
      c:\Documents and Settings\userName\Application Data\kodak\

      -> Windows Vista y 7:
      c:\users\userName\Application Data\kodak\

      Eliminar
  4. Anónimo30 de marzo de 2012, 17:56

    El pim universal a mi no me funciona.
    No puedo arrancar en modo seguro.
    Solo si arranco desconectado de internet no me bloquea, pero no puedo restaurar el sistema,...
    Alguana sugerencia?
    Gracias

    ResponderEliminar
    Respuestas
    1. Anónimo30 de marzo de 2012, 21:35

      Tengo una modalidad de virus que(mi sistema es un XP):
      -no permite iniciar en modo seguro
      -no permite iniciar simbolo del sistema
      -Puedo arrancar el ordenador en la ultima configuracion(pero sin privilegios de administrador aunque mi cuenta los tenia). Esto solo si no estoy conectado a internet. Cuando me conecto aparece la pantalla bloqueandome.
      -Los codigos 1029384756 y QRT5T5FJQE53BGXT9HHJW53YT no funcionan.
      -Con la pantalla bloqueando el ordenador no puedo utilizar Tabulador+Alt
      -Iniciando como me permite no puedo acceder al registro ni a los puntos de reinicio, ni nada util.

      Les agradeceria si pudieran ayudarme.

      Gracias

      Eliminar
    2. Anónimo3 de abril de 2012, 11:27

      La solucion aqui. Ademas, a mi me lo quito el propio anti-virus del Dr.Web(la ultima version de principios este mes)

      http://laenzima.blogspot.com.es/2012/03/eliminar-en-nuevo-virus-de-la-policia.html

      Eliminar
  5. Anónimo6 de abril de 2012, 3:11

    Hay tanta gente que no tienen ni idea de ordenadores, por esto funcionan los virus de este tipo.. hay gente que ganan hasta 50000€ diarios con ukash/paysafecard y algunos estan aqui en España por cierto.

    ResponderEliminar
  6. Anónimo10 de mayo de 2012, 20:26

    gracias por todo

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017