Mostrando entradas con la etiqueta Troyano. Mostrar todas las entradas
Mostrando entradas con la etiqueta Troyano. Mostrar todas las entradas

sábado, 3 de octubre de 2015

¿Mi móvil me espía?

Hoy me han traído un smartphone a mi taller. El cliente me comentó que tenía sospechas de que podían estar controlando las llamadas, los mensajes, la ubicación, los whatsapps, ...
Figura 1: ¿me controlan con mi teléfono?
Me ha preguntado si eso se podía hacer, y le he dicho que legalmente no pero que técnicamente si, por lo que hemos decidido analizar el móvil para ver que encontramos, ya que podría tener instalado algún R.A.T. (mas información en estos enlaces):
Figura 2: Comprando un RAT para espiar a empleados, hijos, pareja, ...


Figura 3: Controlando nuestro móvil para "hacer el mal"

Para asegurarnos de la existencia de la posible troyanización, he descargado del PLAY STORE la app de VirusTotal para analizar todas las apps instaladas y los servicios que tenía el móvil. Este ha sido el resultado:
Figura 4: En el análisis ha salido solo una app sospechosa

  •  En el análisis ha salido solo una app sospechosa
Figura 5: un motor de búsqueda de virus de 56  ha detectado algo
  • El análisis que ha hecho la app de VirusTotal ha sido en 56 motores de búsqueda distintos y uno de ellos ha dado positivo

Figura 6: detalle de la posible infección encontrada
  • Aparentemente es una puerta trasera (backdoor) la que trae instalada este juego de tetris
Analizando un poco más la configuración del terminal, me ha llamado la atención que la cuenta asociada al mismo de GMAIL tenía este aspecto:

Figura 7: detalle del nombre de cuenta asociado al dispositivo
El nombre de la cuenta de GMAIL configurada en el móvil (que es la usada para hacer descargas en la PLAY STORE, poder hacer localización del mismo mediante la aplicación genérica de "Localización del dipositivo", poder bloquearlo remotamente, ...) tenía el nombre de 13 caracteres aparentemente aleatorios. Mi cliente no sabía de quien era esa cuenta, pues su dirección de correo de GMAIL es otra distinta. A partir de aquí hemos empezado a sospechar:

Figura 8: do you not find this highly suspicious?
El cliente me asegura que nadie ha tocado su teléfono a parte de él, que no ha descargado nada, ... Pero para asegurarnos he seguido el siguiente proceso:

  1. informar de lo encontrado al cliente y recomendación de que haga una visita a la Guardia Civil
  2. tras hablar con el responsable de delitos telémáticos, restauración del móvil a valores de fábrica
  3. instalación del firmware que el fabricante ofrece en su web oficial
  4. creación de nueva cuenta de GMAIL
  5. desactivación del GPS
  6. desactivación de la zona WIFI
  7. instalación de antivirus
  8. limpieza de datos de la SD
  9. charla de "recomendaciones" y concienciación al cliente

Esperemos que todo esté resuelto.

Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

martes, 19 de mayo de 2015

Comprando un RAT para espiar a empleados, hijos, pareja, ...

Siguiendo con el tema de ayer, en el que os comentaba que nuestro teléfono móvil puede ser troyanizado para convertirse en un bot, tal vez podáis pensar que solo es posible que hagan eso grupos de ciberdelincuentes o mafias organizadas que explotan las nuevas tecnologías para llevar a cabo su delitos y lucrarse con ello.

Con un poco de imaginación y paranoia podíamos buscar un culpable, tal vez las mafias chinas o de Europa del este que están tan de moda, o la NSA americana para tener datos nuestros. Igual es Google, Amazon o Apple para conocer nuestros gustos comerciales y darnos esa publicidad no solicitada.
Figura 1: Android nos confiesa que en ocasiones se siente vigilado

Pero, ¿y si te digo que este tipo de malware está a la mano de todo el mundo? ¿que cualquier persona puede comprarlo e instalarlo en su propio teléfono o en el de empleado o jefe, pareja o hijos?

Buscando en internet la oferta de empresas que venden este tipo de aplicaciones no es pequeña. Existen multitud de ellas en distintos idiomas y con tablas de compatibilidad de modelos de teléfonos. Te venden un ficherito que ejecutas en el teléfono (o lo mandas por mail, whatsapp, enlace, ... para que la "víctima" lo haga), y tiene un frontend, un panel de control que desde tu ordenador, tablet o smartphone te muestra todos los posibles ataques que podemos hacer. La lista de opciones no es pequeña, puedes hacer de todo con el teléfono infectado:

Espiar Llamadas
  • Escuchar llamadas en vivo
  • Grabar llamadas
  • Registrar llamadas
  • Registro de Llamadas VOIP4
  • Escuchar sonido ambiente
  • Grabar el ambiente
  • SpyCam para FaceTime

Espiar Mensajes
  • Leer mensajes SMS
  • Enviar SMS falsos
  • Leer E-mails

Espiar Passwords
  • Espiar claves de acceso
  • Espiar contraseñas de aplicaciones
  • Espiar contraseñas de email

Espiar en GPS
  • Ver & Rastrear Ubicaciones GPS

Espiar Chats 
  • WhatsApp
  • Facebook / FB Messenger
  • Viber
  • LINE
  • Skype
  • WeChat
  • iMessage
  • BBM
  • Blackberry PIN
  • Yahoo Messenger
  • Snapchat
  • Hangouts 

Espiar Remotamente
  • Tomar una foto usando la cámara
  • Reiniciar Dispositivo
  • Comprobar estado de batería del dispositivo
  • Control Remoto por SMS

Y mil funciones mas que no pongo por no alargar el post. Como veis, se convierte en un auténtico bot, lo puedes tener sometido a tu voluntad.
Figura 2: rastreo GPS de lugares desde los que se han mandado twits

Si como tecnología ves que está muy bien, muy completo, pero piensas que es complejo, todo lo contrario es muy sencillo de usar. ¿Y el precio? desde $15 tienes la posibilidad de comprarlo. Yo alguna web que he visitado también los he visto por $49,95 con licencia para un mes, $168 con licencia de por vida, ... precios muy asequibles para casi cualquier bolsillo.

Y ahora la parte comercial. Estos son algunos de los argumentos de venta que he leído:
  • Programa XXXX se está convirtiendo rápidamente en el programa de rastreo de teléfonos móviles más popular. Si realmente teme que su pareja lo está engañando o si se preocupa porque su hijo se ha vuelto callado o está deprimido, definitivamente éste es su programa
  • El mejor programa para espiar móviles por internet desde el ordenador, para saber si su pareja le engaña o es infiel. Ya no es necesario un investigador privado
  • ¿Eres una pareja celosa, un padre cuidadoso, o un jefe preocupado? ¿Necesitas confirmar que tu pareja es sexualmente fiel, que tu hijo está seguro o que tus empleados mantienen un buen comportamiento? Espía en sus smartphones o iPad y deja de dudar. O protégete si no es así.

Todo esto se ve muy turbio!!! 


1. «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Figura 3: artículo 197 del código penal
¿Qué nos dicen en las web de venta de este programa sobre la legalidad?

Programa YYYY es perfectamente legal para instalar en su propio teléfono como principal solución de copia de seguridad . Pero por favor, asegúrese de que tiene permiso explícito de la persona cuyo teléfono se le supervisando y cuyo teléfono va a requerir físicamente con el fin de instalar físicamente Programa YYYY a ella antes de seguir adelante . Por otra parte, en caso de duda , revisar sus leyes locales del país y lea nuestro aviso legal aquí .
Visto lo visto, ahora la parte productiva:
Recomendaciones si tenéis un  iPhone:
  • tened controlado el terminal en todo momento
  • con passcode complejo
  • sin Siri
  • actualizado a la última versión
  • sin jailbreak 


Si tienes un Android:
  • tened controlado el terminal en todo momento
  • con passcode complejo
  • actualizado a la última versión
  • evita bajarte apps con permisos raros
  • pon un antimalware
  • evita rootear el teléfono
  • presta atención a la versión WhtasApp que te bajas (que sea del canal oficial)

Y unos enlaces para complementar la información:

Figura 4: entrada del blog elladodelmal : Troyano para espiar un Android
Vídeo 1: Chema Alonso y Jordi Évole troyanizando un móvil


Saludos!
Publicado por en 3 comentarios:
Etiquetas: , , , , ,

Controlando nuestro móvil para "hacer el mal"

Ante la reciente oleada de móviles (smartphones) y táblets que nos han llegado a nuestro taller para reparaciones de tipo software (dispositivos que se bloquean, que no inician, que no apagan, que no dejan trabajar por avalanchas de mensajes de error y publicidad, ...), hemos investigado acerca del manejo que nuestros clientes hacen de estos dispositivos.

Por regla general se entiende que si un dispositivo trae Android, podemos ir a la Play Store y descargar juegos, programas y demás contenido por que son gratuitos. Bueno, no es que podamos, sino que "debemos" descargar todo contenido que pase por nuestra pantalla y nuestra memoria ROM nos permita. Para eso están. 

Pero, ¿podemos confiar en los orígenes de esas aplicaciones? ¿podemos fiarnos de que la finalidad de esas aplicaciones son las que el fabricante dice ser?

La respuesta es un rotundo NO.

¿Hay algo realmente gratis? yo nunca lo he visto. Si que es cierto que hay aplicaciones que tienen dos versiones, la PRO y la FREE, y el desarrollador nos ofrece esa versión FREE con la finalidad de que probemos las características del producto, con ciertas opciones "capadas", limitadas o deshabilitadas, y si nos gusta podemos comprar la versión PRO.

Fuera de esta política de uso, el fabricante casi siempre va a ganar algo con nuestra descarga e instalación. Puede que simplemente se lucre al incluirnos Ads publicitarios. Pero la realidad es que hay otras veces que se lucran con la instalación por que convierten nuestro smartphone en un bot

¿Qué es un BOT? Según wikipedia: Un bot (aféresis de robot) es un programa informático, imitando el comportamiento de un humano. O sea, un programa que instalado en nuestro dispositivo lo controla según las necesidades que un humano le haya dicho que haga. Comúnmente se denomina "zombie", por que ya no es un dispositivo normal como tal, si no que ejerce órdenes. En un teléfono las funciones interesantes para los malos son poder controlarlos remotamente:

  • hacernos fotos con nuestra cámara y enviarlas al ciberdelincuente
  • capturar nuestras contraseñas cuando accedemos al correo, facebook o twitter
  • grabar nuestras llamadas
  • saber donde estamos por el geoposicionamiento del GPS
  • ...

Este tipo de malware, que podría ser un troyano en un PC, se denomina RAT (Remote Administration Tool).

Os pongo un ejemplo de instalación de aplicación que podría resultar dañina para nuestro dispositivo:

Accedemos al Play Store y buscamos una aplicación para hacer bromas simulando que nos radiografía el teléfono la mano:

Figura 1: aplicación de broma con rayos x
 Al darle a INSTALAR, nos pide que aceptemos los permisos que queremos que esta aplicación tenga sobre nuestro teléfono (es recomendable leerlos, y alguna sorpresa os llevaréis):


Figura 2: permisos que hemos de aceptar para esta aplicación
Pero, si es de broma, ¿para que quiere hacer compras, saber quien somos, saber dónde estamos, acceder a todas nuestra fotos almacenadas, ...?
Figura 3: descripción de los permisos (primera pantalla)
Y sigue, y sigue, ..., acceder a la cámara y poder usarla, acceder a la información de las conexiones wifi y los nombres de los dispositivos, acceder a la identificación del dispositivo y al registro de llamadas!!!
Figura 4: descripción de los permisos (segunda pantalla)
Si antes de instalarla leemos los comentarios, vemos que un buen porcentaje de los votos es negativo, ya que a la gente no le da el resultado esperado, más que nada, porque la aplicación está más ocupada en mandar sus datos al dueño de la botnet que de hacer bromas:

Figura 5: comentarios de la aplicación

Ya para terminar, la parte productiva: 

Un vídeo de Chema explicando el funcionamiento de los botnets (redes de zombies):
Vídeo 1: Chema Alonso: Hackeando a los malos con sus propias armas

Figura 6: Troyano para espiar un Android o para espiar a través de él (Blog elladodelmal)
Resumiendo:
  • leed los permisos que concedéis a las aplicaciones que instaláis
  • no descarguéis por descargar
  • leed los comentarios antes de instalar
  • tal vez no sea buena idea que los niños pequeños usen nuestro teléfono de trabajo para su ocio. Hay táblets muy baratitas que aunque se llenen de publicidad, rats, troyanos y se convierta en un bot, no compromete nuestros datos personales (precaución con la cam y el micrófono) y podemos destinarlas al uso de los más pequeños.


Saludos!
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

jueves, 26 de marzo de 2015

Análisis de una infección [II de II]

Upss. ¿De que me suena esto?. La página de inicio de Mozilla Firefox también ha sido modificada. Además, el propio Kaspersky me avisa de que la página a la que estoy intentando acceder tiene software malicioso. Todavía me queda Internet Explorer, pero no encuentro el icono por el escritorio. Haré un Inicio -> Buscar programas y archivos y así podré acceder:

Figura 13: búsqueda de Internet Explorer no encuentra el navegador

Nada, que no aparece. De Chrome no me fío, Mozilla tampoco e Internet Explorer no existe. Pues voy a Chrome y me descargo Internet Explorer, lo instalo ya podré seguir buscando información. Abro Chrome para buscar y veo esto:

Figura 14: accesos directos dentro de la página de inicio de Chrome

La página de inicio ahora está bien, pero siguen saliendo restos de las web del buscador My Start Search. De todos modos me deja seguir navegando. Busco Internet Explorer Descarga y encuentro el enlace en la web de Microsoft. 

Figura 15: descarga de Internet Explorer 11 y aviso de actualización de Java

Ya casi lo tengo, pero justo ahora me salta una alerta de que no tengo Java actualizado. A ver si se han colado los bichejos por ahí. Chema Alonso recomienda tener todo actualizado. Va a ser eso. Bueno, actualizo Java y luego instalo Internet Explorer. Pero de repente, Chrome me intenta solucionar todos mis problemas de inseguridad. Un mensaje esperanzador me avisa de que Chrome ha detectado problemas y dispone de una herramienta que lo va a arreglar todo.

Figura 16: herramienta de eliminación de software "beta" de Chrome

Y ¿que hago?. Me pide descargar algo que yo no he solicitado. Esto mismo me suena de la semana pasada y mira ahora como está mi Windows. Pero, si me lo dice Google será bueno. Además, eso de "Herramienta de eliminación de software" me suena de algo, no se, algo de alguna actualización de Windows Update que sale cada dos por tres. Que pesados los de Windows con su actualización todos los meses ahí !!! Pero esta descarga que me recomienda Chrome será mejor por que Chrome es Google y además pone "beta". Si el alfabeto empieza por alfa esto será mejor por que es beta, es como la versión 2.0 de algo.

Figura 17: descargando la aplicación

Vale, ya lo he descargado y ahora lo ejecuto a ver que pasa. Tarda un poquito en hacer un análisis y me dice que ha encontrado una amenaza, pero que la va a eliminar. Vaya, no me dice nada más. ¿Y si la amenaza está dentro de una foto de mi último viaje o dentro de ese fichero excel que llevo toda la tarde preparando? Habrá que fiarse ...

Figura 18: amenazas encontradas

Figura 19: proceso de eliminación del software sospechoso

En la Figura 18 veo que se va a enviar información de mi ordenador a Google. Voy a ver que información se manda haciendo click en el vínculo:

Figura 20: información opcional de mandar a Google

Aparentemente no hay ningún dato personal, pero no lo puedo asegurar. Nos fiaremos del software. De todos modos, si es para que sea mejor la aplicación pues será bueno que lo hagamos. Esperemos que estos datos sean los que se dice. Antes de hacerlo voy a buscar un poco de información sobre esta herramienta a ver de donde viene. En el último paso de la eliminación, hay un link a un fichero de texto inmenso, pero el comienzo del propio fichero es este:

Figura 21: información sobre el envío de información a Google

David M. Gay's floating point routineshttp://www.netlib.org/fp/
/**************************************************************** * * The author of this software is David M. Gay. * * Copyright (c) 1991, 2000, 2001 by Lucent Technologies. * * Permission to use, copy, modify, and distribute this software for any * purpose without fee is hereby granted, provided that this entire notice * is included in all copies of any software which is or includes a copy * or modification of this software and in all copies of the supporting * documentation for such software. * * THIS SOFTWARE IS BEING PROVIDED "AS IS", WITHOUT ANY EXPRESS OR IMPLIED * WARRANTY.  IN PARTICULAR, NEITHER THE AUTHOR NOR LUCENT MAKES ANY * REPRESENTATION OR WARRANTY OF ANY KIND CONCERNING THE MERCHANTABILITY * OF THIS SOFTWARE OR ITS FITNESS FOR ANY PARTICULAR PURPOSE. * ***************************************************************/

¿Será de la empresa desarrolladora? Ni idea, yo no lo se. Ahh, espera que un poco más abajo pone esto:
dynamic annotationshttp://code.google.com/p/data-race-test/wiki/DynamicAnnotations
/* Copyright (c) 2008-2009, Google Inc. * All rights reserved.
Y un poquito más abajo esto:
Paul Hsieh's SuperFastHashhttp://www.azillionmonkeys.com/qed/hash.html
Paul Hsieh OLD BSD license
Copyright (c) 2010, Paul HsiehAll rights reserved.
Y así un sinfín de nombres o empresas. ¿Van a llegar mis datos a todos ellos? Un poco raro todo esto. 

Ya llevo un rato con todas estas tareas. Quiero acabar y continuar con mi trabajo/ocio, no seguir instalando y revisando cosas. Actualizaré Java que era lo que me avisaba antes:

Figura 22: actualización de Java

Listo, a instalar Java. La instalación sale automáticamente al hacer click sobre la notificación emergente que sale abajo a la derecha, sobre el reloj de Windows. El proceso es sencillo y el asistente solo necesita que le hagamos el típico Next -> next -> instalar -> Yes -> si -> si -> que siiii. Todos sería perfecto si no supiera que se va a instalar la versión 7.75 cuando la última disponible es la 8.40 Al final de todo tampoco estaré actualizado. Además al hacer Next -> next -> instalar -> Yes -> si -> si -> que siiii no me he fijado en una ventana intermedia en la que me va a instalar un buscador extra, el ASK:

Figura 23: ventanas de la instalación que debería haber leído

Ya lo he instalado, pero en lugar de un emotivo ¡¡¡ PERFECT !!! final me sale un aviso de que Java no está actualizado. A repetir el proceso:

Figura 24: mensaje desmotivador tras actualizar Java

Ahora si, ya lo tengo actualizado. Actualizaré también Windows mediante Windows Update. Chema recomienda Windows original y tenerlo actualizado. ¿Por que no habré seguido los pasos del tío este del gorro? si al final todo de lo que advierte va a ser verdad !!! Y yo que pensaba que desprestigiaba todo lo que no fuese de Microsoft y que nos vendía la moto y va a resultar que todo es software y puede tener problemas. Si es que todo lo hacen con espagueti code!!!

Figura 25: página principal de Windows Update

Vaya, cuatro actualizaciones que estaban aquí pendientes desde el 13 de enero de este año. Claro, los martes de estos de actualizaciones de Microsoft. ¿Pero a quien se le ocurre sacar actualizaciones en martes y 13? ¿Esos días no era recomendable no encender el ordenador? ¿O eran los viernes 13? Bueno, que son 2 meses y 10 días que he tenido un bug detectado en el ordenador. Voy a ver de que se tratan que igual no son muy importantes los fallos que corrigen estas actualizaciones: 

Figura 26: descripción de fallo de seguridad 3019215

Figura 27: descripción de fallo de seguridad 3022777

Pues si que parecen importantes. Dos de ellas son, una para evitar la elevación de privilegios y otra para evitar la omisión de la característica de seguridad.

Tras todo este trabajo, reinicio, vuelvo a ejecutar Windows Update hasta que ya no salga ninguna actualización pendiente, actualizo los navegadores, vuelvo a analizar con el antivirus y veo que ya no sale nada, ... En fín, parece que ya está. Pero la informática tiene una sorpresa más para mi. Dejo el ordenador encendido un rato y me marcho a realizar otras tareas. Al cabo de media hora regreso y en la pantalla del portátil tengo un regalito en el área de notificación:



Figura 28: regalito final con publicidad

UN POPUP DE ADS !!!! ¡¿ Pero no estaba ya todo limpio ?! 

He intentado recrear esta situación desde la perspectiva de un usuario doméstico al que se le van presentando problemas e intenta ir aplicando soluciones, pero ni las soluciones son fáciles ni muchas veces ofrecen el resultado esperado. Por parte de los desarrolladores pienso que es complicado encontrar el método que sirva para usuarios domésticos, usuarios técnicos y usuarios avanzados, pero al ponerme en la piel del usuario final, veo que la guerra la están ganando los distribuidores de malware. Tendiendo el sistema operativo actualizado, un antivirus original instalado, y todo todo y todo actualizado a la última versión, estás bastante protegido, pero en cuanto se mete cualquier cosa, hay un efecto dominó que va minando el sistema y al final acaba por tomar el control.

Repito las recomendaciones a seguir de forma muy general:
  • Sistema operativo original, actualizado y no discontinuado
  • Programa antivirus original actualizado 
  • Todas la aplicaciones de terceros actualizadas
  • Sospechar de todo lo que nos diga internet


Os pongo de nuevo un vídeo de Chema en el que nos explica aspectos muy interesantes sobre los creadores de malware, su finalidad, como funcionan los zero days, para sirven las actualizaciones, etc.

Vídeo 1: Conferencia: "Thinking about Security" de Chema Alonso presentada el 20 de Diciembre de 2012 dentro del Ciclo de Conferencias de la Escuela Superior de Informática de la Universidad de Castilla-La Mancha



Saludos!

**************************************************************************************
Análisis de una infección [I de II]
Análisis de una infección [II de II]
**************************************************************************************
Publicado por en 2 comentarios:
Etiquetas: , , , , , , , ,

miércoles, 25 de marzo de 2015

Análisis de una infección [I de II]

Hoy nos han traído a nuestro taller un ordenador portátil que funciona muy lento y salen muchas ventanas de publicidad. He decidido intentar hacer una puesta a punto sin usar "la intuición informática", sin ayuda del sexto sentido, las musas ni el Tao de la programación. Intentando limpiar y optimizar el sistema con las herramientas que pueden estar en mano de cualquier usuario dejando a un lado las técnicas que la experiencia me han llevado a depurar, como eliminación de carpetas concretas, "retoques" manuales del registro y otras cochinadas. El proceso ha sido el siguiente:




Como parece que tengo virus, compro un antivirus, lo instalo y analizo el sistema. Una vez hecho esto veo que Kaspersky ha detectado 23 amenazas y las ha eliminado. Vamos a abrir el informe del antivirus para ver cual era la infección:



Figura 1: amenaza detectada: troyano dentro de un exe con el nombre de la
serie de TV Homeland - Tercera temporada que se descargó hace unos días 

Figura 2: troyano escondido dentro de un enlace a Internet Explorer
Figura 3: troyano escondido dentro de un enlace a Mozilla Firefox
Figura 4: adWare escondido dentro de una aplicación para bloque de publicidad en Youtube

Figura 5: adWare con el complemento RoboSaver, que muestra ofertas, cupones, ...




El propio antivirus me pide reiniciar para terminar de eliminar las amenazas. Vamos a ello. Una vez de vuelta en el escritorio, veo que hay un acceso directo sin icono. Voy a ver a donde apunta:

Figura 6: icono sospechoso en el escritorio


Figura 7: detalles del icono





En el get del destino hay esta información: 

C:\Users\usuario\AppData\Local\Temp\Launcher__6063_i1479283952.exe /ver 1.1.5.26 /u http://www.amoninst.com/index.php /ver 1.1.5.26 /ci 6063 /appimageurl http://s3.amazonaws.com/refresher-bundles/amonetize/icon.png /appname Setup /appsetupurl . /ti1 28785

Veo que es una llamada al ejecutable Launcher__6063_i1479283952.exe que está en la carpeta C:\Users\usuario\AppData\Local\Temp\ y le pasa de argumento el sitio web http://www.amoninst.com/index.php y otros que identifican al icono de la web entre otros.

Huy que turbioooooo!!! . No me fío de hacer doble click, así que para seguir investigando voy a abrir en el navegador la URL para ver a donde me mandaba (http://www.amoninst.com/index.php):


Figura 8: Chrome troyanizado

Nada más abrir Chrome ya detecto que la página de inicio ha sido cambiada por otra. Yo tenía el buscador google y ahora sale el buscador "start my search". En fin, pego la URL en la barra de direcciones y me sale la siguiente ventana en Chrome:


Figura 9: alerta en Chrome


Lo que sospechaba, la URL de la web no es para nada fiable. Me alegro de no haber hecho doble click en el icono. Ahora que me he dado cuenta de que la página de inicio ha sido modificada en Chrome voy a restaurar las opciones por defecto para volver a dejarlo como estaba. Voy a configuración y veo que las extensiones también han sido modificadas, así como los motores de búsqueda de Chrome:


Figura 10: motores de búsqueda de Chrome modificados

Figura 11: extensiones de Chrome modificadas


Pongo todo esto un poco en orden, pero ahora no me fío de Chrome, ya que ha sido tan troyanizado y modificado que puede que no todas las amenazas se hayan corregido. Voy a buscar algo de información en Mozilla Firefox que es un poco más seguro para esto de los virus:


Figura 12: Mozilla Firefox troyanizado


**************************************************************************************
Análisis de una infección [I de II]
Análisis de una infección [II de II]
**************************************************************************************

Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

miércoles, 11 de marzo de 2015

Infección de Ransomware CryptoLocker

Hoy nos ha traído un cliente un PC infectado supuestamente con virus. Los síntomas eran que el sistema le funcionaba muy lento y al intentar abrir cualquier imagen, documento word o excel, le salía un mensaje de error en el que las aplicaciones decían que no se podía trabajar con el documento, o que el contenido era ilegible.

Al hacer las primeras inspecciones, hemos descubierto que en cada una de las carpetas del usuario, se habían creado unos ficheros nuevos con los siguientes nombres:

  • HELP_DECRYPT.TXT
  • HELP_DECRYPT.PNG
  • HELP_DECRYPT.HTML
  • HELP_DECRYPT
Figura 1: contenido de cada una de las carpetas existentes en el sistema

    El contenido de estos ficheros era este:

    Figura 2: mensaje del fichero HELP_DECRYPT.PNG

    Con un primer análisis del antivirus (en nuestro caso el Kaspersky Antivirus 2015), nos ha detectado una infección por Ransomware CryptoLocker, un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013. Tras este análisis el antivirus ha conseguido limpiar completamente los ficheros del sistema y las claves del registro, pero los ficheros que ha cifrado ha sido imposible hacer que volvieses a sus estado original y por lo tanto poder volver a trabajar con ellos, con la consecuente pérdida de información y la correspondiente mala leche que se ha generado. 

    Buscando por internet hemos visto una creciente propagación de este malware en comentarios por todos los foros desde finales e 2014. pero con más virulencia desde el 8 de febrero de 2015. 

    Si sigues los pasos que el propio malware te propone, te indica unas URLs a las que acceder y tras el pago de $500 mediante BitCoin o Paypal, se supone que te mandan el programita que te descifra tus propios ficheros, pero date prisa !! ya que si no en cualquier momento ellos pueden borrar la clave de cifrado de tus ficheros que han guardado y ya los perderás permanentemente. O sea, que ahora mismo voy a pagar !!!. Me has infectado el PC, me has hecho perder años de trabajo al estropearme los ficheros y pretendes que te mande $500? por que no para agradecerte el favor si me los devuelves te mando $1000?

    Hemos probado varias herramientas de diversas empresas para descifrar documentos cifrados con troyanos, pero hasta este momento solo nos ha hecho perder 1 día de trabajo, ya que ninguna ha conseguido corregir el problema. 

    Llegados a este punto en el que ya no se puede hacer nada por los datos, vamos a analizar que ha podido pasar para que este troyanito tan majete se haya podido pasear por nuestro sistema como Pedro por su casa. 

    ¿Qué sistema operativo tiene el cliente? 
    • Microsoft Windows XP Profesional Versión 2008 Service Pack 3 activado por WindowsWolf.com.ar

    Eing?? que es esto?

    Figura 3: versión del sistema operativo

    Por supuesto, para que los chicos de Microsoft no le manden la Estrella de la Muerte tenía Windows Update desactivado y restaurar sistema también desactivado. Bueno, no desactivado, sino "capado" de serie en esta distribución. Solo había un usuario Administrador con el que se trabaja para todo, versión de Java 6.29, flash player 9, Adobe Reader 7.0, Internet Explorer 8.0 y Avast desactualizado desde marzo de 2014. Las copias de seguridad si que las tenía, ya que ayer, cuando vio que el pc iba un poco lento, pensó en lo peor e hizo una copia de seguridad en el pen de las copias de seguridad eliminando el anterior backup para reemplazarlo por una espléndida y SUPERCIFRADA versión de todos los ficheros.

    Y la pregunta ha sido: ¿cómo se me ha metido un virus si yo no busco nada raro e internet?. Pues no se que te diga, igual ha sido por curiosidad, por que el troyano iba pululando por ahí por la red, te ha visto desde 1000 Km y ha pensado: ¡no puede ser cierto! ¡esto tengo que verlo!

    En fin, resumiendo:
    • usa sistemas operativos originales
    • mantén tu sistema actualizado
    • instala un antivirus y mantelo actualizado
    • actualiza software de terceros
    • actualiza tu navegador 
    • no "capes" las medidas de seguridad nativas del sistema (aunque parezcan a priori incómodas)
    • haz copias de seguridad periódicamente y a ser posible en varios medios distintos (pen, discos duros externos, en el cloud, en otros PCs de tu red)

    Os dejo unos vídeos del gran Chema Alonso explicando más o menos un poquito esto:

    Vídeo 1: Chema Alonso en el Blog Think Big: ¿Sirven de algo los antivirus?

    Vídeo 2: Chema Alonso - Infectarse navegando por Internet

    Vídeo 3: Chema Alonso - Actualizar Software de Terceros

    Saludos !
    Publicado por en 1 comentario:
    Etiquetas: , , , , , ,
    Suscribirse a: Entradas (Atom)