Estudio técnico del troyano “de la policía”

Publicado el 20 marzo 2012 ¬ 13:00 pmh.mscComentarios desactivados en Estudio técnico del troyano “de la policía”

 

Hemos realizado un estudio técnico detallado del malware de la policía. De esta forma hemos podido comprobar cómo se generan los códigos válidos para eliminarlo, además de algunas curiosidades sobre su funcionamiento.

Nuestro compañero Marcin “Icewall” Noga ha estudiado en profundidad el troyano, y descubierto algunas curiosidades. El informe completo puede ser descargado desde
torio/Troyano_policia.pdf
Aunque contiene parte de código a bajo nivel que puede asustar a algunos usuarios menos técnicos, recomendamos su lectura porque hemos intentando explicar su comportamiento. Contiene además el algoritmo que comprueba qué códigos son válidos (con lo que podemos deshacernos del troyano de manera más eficiente), además de otras curiosidades. Vamos a resumirlas:
Si se paga el rescate, se crea el fichero “pinok.txt” en el mismo directorio con el código usado para haber realizado el pago. El troyano no comprueba el contenido del fichero, solo su existencia, por tanto si se crea un fichero pinok.txt vacío, el troyano pensará que se ha pagado el rescate.

Hemos creado un generador de códigos válidos.
El troyano acepta un pin universal que hará que se desbloquee: 1029384756.

El troyano inyecta en Explorer.exe todo su cuerpo, y no sólo el código que necesitaría para funcionar en su interior.

El troyano contiene evidencias de código de control, que se ha “olvidado” mientras se programaba.

El creador ha preparado un comando que le permite eliminar el agente de todas sus víctimas. “del”.

Los procesos que intenta anular constantemente en el equipo son: taskmgr.exe, regedit.exe, seth.exe, msconfig.exe, utilman.exe y narrator.exe
El estudio está disponible desde:
torio/Troyano_policia.pdf
 Fuente
MUY IMPORTANTE

Como sea que en muchos casos el malware impide seguir trabajando e incluso poder arrancar en MODO SEGURO para lanzar el ELISTARA que es nuestra herramienta que lo detecta y elimina, aconsejamos, si es este el caso, aplicar el codigo que indican en el informe para cubrir las apariencias:

El troyano acepta un pin universal que hará que se desbloquee: 1029384756.

Una vez aplicado se creerá que se ha pagado y podrá reiniciarse y lanzar el ELISTARA

SALUDOS

ms, 20-3-2012

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies