Hola a todos Underc0ders, el otro día estaba navegando por internet cuando encontré otro de los millones de ficheros curiosos que hay.
No pude analizarlo al 100% pero me llamó bastante la atención su funcionalidad, aquí os dejo lo poco que descubrí:
Este es el archivo en cuestión y sus propiedades:
(http://i.imgur.com/GMMD4qu.png)
Y estos los movimientos que realiza al ejecutarse:
(http://i.imgur.com/6YAwyfj.png)
Justo después de ejecutarlo se inician automáticamente 2 notepads y se inicia el mozilla firefox.
(http://i.imgur.com/ORY2x9V.png)
(http://i.imgur.com/BeRVnYS.png)
(http://i.imgur.com/3t9ATLD.png)
Si visitaba la url que nos decía, nos contaba que teníamos que pagar 500$ para que los archivos volviesen a su normalidad. Además si no pagabas en 12Horas (creo recordar) ese precio iría subiendo exponencialmente....
Por lo que decidí ejecutar Wireshark y ver si hacía alguna conexión de algún tipo y a donde.
(http://i.imgur.com/7BwF4BE.png)
Dominio e Ip involucrados:
dominikanabestplace.com
199.188.206.202
Estas direcciones, estaban y están caídas.
Por lo que... realmente el malware hacía lo que verdaderamente dice? A mi personalmente no me bloqueó ningún archivo, así que con los resultados obtenidos, pienso que realmente no hacía nada, tan solo provocar a que la víctima pagase...
Cabe mencionar de que se ejecutó en un entorno controlado.Un saludo.
Blackdrake
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.
Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.
lavoz.com.ar/node/978234 (http://lavoz.com.ar/node/978234)
Saludos
Gn0m3
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Esto me hace acordar a una metodología nueva que se esta utilizando en el ultimo tiempo.
Les dejo un articulo de referencia de una situación real donde el afectado fue una estación de servicio.
lavoz.com.ar/node/978234 (http://lavoz.com.ar/node/978234)
Saludos
Gn0m3
Muchas gracias por el articulo, no conocía ningún caso de importancia provocado por este tipo de malware.
Un saludo ^^
Interesante analisis. Y en cuanto a la noticia me parece raro que un hacker 'yanki' entre a un servidor de una 'empresita' de aqui.
En realidad no es mas que un metodo de pharming..
No pasa solo en Argentina:
http://news.ninemsn.com.au/national/2012/11/27/14/44/criminals-hold-aussie-computer-files-hostage
No importa el país que sea el objetivo de la persona o personas es obtener dinero...
Saludos.
Gn0m3
Grande blackdrake, veo que sigues dándole al análisis de malware :D
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Grande blackdrake, veo que sigues dándole al análisis de malware :D
Contigo quería hablar jajaja, hablame por whats!!
Enviado desde BlackMovil5
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??
Si te refieres a este:
(http://i.imgur.com/6YAwyfj.png)
Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.
Estos ransomware estan avanzando y realmente molestando a muchos infectados en el mundo.. Sin dudas uno similar a ese Cryptowall es con el que me toco analizar el mes pasado el CTB-Locker, son bastantes similares aunque este ultimo aplica un cifrado por curva eliptica, realmente complejo.. (bitcoins utiliza este mecanismo..) y son un dolor de cabeza sino tienen backups de los archivos.
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
hola disculpa como se llama el programa que usas para ver que hace en si el virus al ejecutarlo??
Si te refieres a este:
(http://i.imgur.com/6YAwyfj.png)
Lo he programado yo, pero puedes utilizar uno que viene con iDEFENSE, de hecho el mio es prácticamente igual.
puedes colocar para descargarlo ?