Incident Response, Security and Forensics"

.

jueves, 12 de julio de 2007

Troyanicos!!


Holaaaa...

Hoy tuve la visita de mi compañero Sergio de los Santos, de la empresa Hispasec Sistemas (¿os suena?), el cual se puso muy contento, de
que por fin este en 'linea'. Ayer discutimos de virus, troyanos y demás bichos de la fauna informática y además nos cabreamos hablando del DNI Electrónico (¡¡ yo que es seguro, el que no... El tiempo decidirá, de momento gano yo, jeje!!)

Yo creo a mi entender que el DNI Electrónico y otras medidas, como las claves de un solo uso, son buenas opciones para matar to
dos estos bichos... y más todavía, si se utiliza para firmar transacciones en un movimiento económico.

Es decir que si estáis como clientes de algunas de mis Cajas, podéis realizar una transferencia desde un 'ciber' de forma tranquila, por que os enviamos la clave al móvil. Esta clave es de un solo uso exclusivo p
ara la operación (importe, ordenante, destino, etc) que estáis realizando y la clave tiene una duración de cuatro minutos.

No obstante si tenéis o detectáis algún ejecut
able sospechoso podéis hacer cuatro cosas:

1.- Eliminarlo sin más
2.- Enviarlo a Virustotal.com

3.- Mandármelo a mi cuenta de gmail.
4.- Hacer un pequeño análisis vosotros mismos. ¿como?. Muy sencillo

Vamos a imaginar que 'sin querer' hemos ido a parar a una página de pornografía , esta contiene un 'banner' que nos descarga el fichero 'foto.exe'

Paso 1:


Disponer de Linux o una máquina virtual y ejecuta
r los siguientes comandos

$ ls -l foto.exe
-rw-r--r-- 1 no no 861031 Dec 28 21:37 foto.exe

$ md5sum foto.exe
866efca20e87813350e326c92681accc foto.exe
$ file foto.exe
PostCard.exe: MS-DOS executable (EXE), OS/2 or MS Windows


Esto nos indica que evidentemente es un fichero ejecutable, si estuviera renombrado a JPG, seguiría dándonos la cadena de 'MSDOS Executable'

Paso 2:

Ver el posible contenido del ejecutable, por ejemplo datos del programador, arquitectura, posibles comandos, etc.

$ strings foto.exe | less
=A t
:jgS

[…]

processorArchitecture="X86" name="Roshal.WinRAR.WinRAR" type="win32" /> WinRAR archiver.



Vemos que esta empaquetado con Winrar, es decir parece que el ejecutable se auto descomprime en su instalación

Paso 3:

Ver que ficheros y como se instala


$ unrar t -v foto.exe

UNRAR 3.30 freeware Copyright (c) 1993-2004 Eugene Roshal


Testing archive foto.exe

Path=C:\WINDOWS\system\
SavePath
Setup=C:\WINDOWS\system\svchost.exe
Setup=C:\WINDOWS\system\exec.bat
Silent=1
Overwrite=1

Testing autdownload.exe OK
Testing aliases.ini OK
Testing control.exe OK
Testing fullname.exe OK
Testing nicks.txt OK
Testing script.ini OK
Testing servers.exe OK

Testing svchost.exe OK
Testing exec.bat OK
All OK


Como veis pasos sencillos y nada complicados que nos permiten ver el contenido de estos virus....

$ strings autdownload.exe | less
=A M
:cxS
http://stabor7.info/western-junior-amateur.html
[…]

En este caso se descarga a su vez el fichero setup.exe de la página 'stabor7.info', para comprobarlo entramos directamente a la página en cuestión.



El análisis de este ¿troyano? os lo dejo a vosotros. Cuidado con la página que alguno se volverá tonto!!

3 comentarios:

Hola Pedro!

A ver. Dinos cuanto te paga IBM por hacerle publicidad.

Es que en la foto, se te ha escapado un pequeño anuncio de IBM.
:-DDDDDD

Saludos y buen fin de semana.
---
Manuel Salanova

Este comentario ha sido eliminado por un administrador del blog.

............

http://troyanosyvirus.com.ar/

saludos