P
PosteameloMuseo de Posts de Taringa!
Explorar Archivo
I

ILCAPO_65

Usuario (Argentina)

Primer post: 22 sept 2009Último post: 22 sept 2009
1
Posts
0
Puntos totales
0
Comentarios
U
Un gusano/troyano perfecto
InfoporAnónimo9/22/2009

Cómo actúa uno de los gusanos/ troyanos que encontró la clave para perpetuar en el tiempo. Brontok Descripción general Brontok es una familia de gusano y troyano con cientos de variantes e identificados con otros nombres como Rontokbrom¸Pazetus, Naras, Spansky o Robknot según la casa antivirus. Este malware aparentemente fue desarrollado en Indonesia por el grupo “HVM31-JowoBot #VM Community“ como puede apreciarse en diversas partes del código fuente o en mensajes emitido por el mismo. El objetivo del mismo es crear una red de equipos zombies infectados (botnets), que puedan ser controlados remotamente para los fines que el autor desee. Estos fines suelen involucrar envio de spam, phishing y ataques de DDoS a diversos sitios de Internet. La primera versión de Brontok, que apareció en octubre de 2005, fue un gusano desarrollado en Visual Basic 6.0 con un tamaño de 80 Kb sin empaquetar. Las versiones posteriores han sido empaquetadas, con distintos programas como UPX o MEW, para disminuir su tamaño, facilitar su distribución y dificultar su detección. Método de infección Utiliza el envío de correo masivo como principal forma de propagación. Para recolecta direcciones de mail desde el equipo infectado y se auto-envía utilizando su propio motor SMTP. Una vez robada las direcciones de correo a las cual puede enviarse, y realizado el envio, al usuario le llega un mail con un remitente falso, asunto del mensaje vacio y con un archivo adjunto cuyo nombre varía segun determinadas reglas utilizadas por el gusano . El correo que llega al usuario tiene la siguiente apariencia: Si el usuario ejecuta el archivo adjunto, notará que se abre una ventana con la carpeta “mis documentos“. Esto es indicativo que el gusano ya está residente en memoria y a tomado el control absoluto del sistema infectado. Esto que parece una exageración, no lo es. Algunas de las acciones realizadas en estos breves instantes son las siguientes: Modificación de diversas claves del registro para asegurar su estadía y ocultamiento en el sistema. Control del Modo a Prueba de fallos para evitar su detección y remoción Reinicios del equipo al intentar abrir ciertas aplicaciones que “pueda atentar contra su seguridad“ Deteción de procesos del sistema y de aplicaciones de seguridad que puedan facilitar su detección y/o remoción Diversas técnicas de engaño para lograr que el usuario ejecute el troyano Modificación de archivos del sistema para evitar la actualización de diversas herramientas de seguridad Creación de carpetas y archivos ocultos para asegurar su permanencia en el sistema Otras formas utilizada para su propagación es la copia de sí mismo a los recursos compartidos de los equipos a los que tiene acceso. Síntomas Como se mencionó, Brontok realiza gran cantidad de modificaciones en el sistema, lo que lo lleva a ser identificable por algunos síntomas apreciables, tales como: Al ejecutarse por primera vez, se abre la carpeta “Mis documentos“ del sistema infectado. En realidad reemplaza el enlace a esta carpeta por una copia de si mismo de forma tal que cuando el usuario hace clic sobre “la carpeta“, el gusano se ejecuta y luego muestra al usuario el contenido verdadero de dicha carpeta. Relentización considerable del sistema infectado. Esto se debe a la gran cantidad de verificaciones que realiza el troyano para evitar su remoción, además de las conexiones a equipos remotos y a los correos que envía permanentemente. Ocultamiento de archivos del sistema. El troyano oculta estos archivos o los reemplaza por copias de sí mismo. Ocultamiento de ciertas opciones de Windows que permitirían su detección. Ocultamiento de las extensiones de los archivos para engañar al usuario y evitar su rastreo. Reinicios inesperados, que pueden llegar a ser frecuentes, cuando se intenta abrir ciertas aplicaciones que pueden facilitar su detección (como aplicaciones de seguridad y antivirus). Funcionamiento Luego de su instalación y toma de control del equipo infectado el gusano continúa propagación envíandose a sí mismo a todas las direcciones de correo que pueda obtener de los archivos con extensiones: .csv, .doc, .eml, .html, .php, .txt, .wab Para no ser detectado por empresas de seguridad evita autoenviarse a direcciones de correo tales como: LASA, TELKOM, INDO,.CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID, .WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU Además y para lograr un mayor efecto de engaño en el usuario, el nombre del adjunto cambia en cada envio pudiendo ser: winword.exe, kangen.exe, ccapps.exe, syslove.exe, untukmu.exe, myheart.exe, myheart.exe, dibuka.exe Nota: las extensiones, dominios y nombres de archivos mencionados pueden variar según la variante de Brontok analizada. Estas cadenas están cifradas y son obtenidas del archivo del propio gusano , como se verá posteriomente. Con respecto a los archivos creados y modificados por el gusano , algunos de ellos permanecen constante en todas las versiones analizadas pero otros son creados aleatóriamente en cada infección o cambian de acuerdo a la versión. Algunos de los archivos son los siguientes: \Configuración Local\Datos de programa\csrss.exe (archivo del gusano de 45 kb) \Configuración Local\Datos de programa\inetinfo.exe (archivo del gusano de 45 kb) \Configuración Local\Datos de programa\lsass.exe (archivo del gusano de 45 kb) \Configuración Local\Datos de programa\services.exe (archivo del gusano de 45 kb) \Configuración Local\Datos de programa\smss.exe (archivo del gusano de 45 kb) \Configuración Local\Datos de programa\winlogon.exe (archivo del gusano de 45 kb) \Empty.pif (archivo del gusano de 45 kb) \Plantillas\ Nombre Aleatorio.exe (archivo del gusano de 45 kb) \ShellNew\Nombre Aleatorio.exe (archivo del gusano de 45 kb) \ShellNew\sistem.sys (con la fecha y hora de la primera instalación) A continuación pueden verse los archivos mencionados: Con respecto a las alteraciones en el registro de Windows podemos mencionar las que modifica el gusano para asegurar su permanencia en el sistema: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Además modifica otras claves del registro para deshabilitar ciertas herramientas del sistema operativo, el acceso al registro de Windows y el intérprete de comandos, puede realizar ataques de DDoS a diferentes sitios de Internet y agregar tareas programadas para ejecutarse a sí mismo. Algunas de las claves alteradas son las siguientes: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System à DisableCMD = "2" HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System à DisableRegistryTools = "1" HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer à NoFolderOptions = "1" HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced à Hidden = "0" HKCU\Software\Microsoft \Windows\CurrentVersion\Explorer\Advancedà HideFileExt = "1" HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced à ShowSuperHidden = "0" El gusano reiniciará el equipo infectado cada vez que sea abierta una ventana cuyo título contenga cualquiera de las siguientes cadenas: Admin, Adobe, Ahnlab, Aladdin, Alert, Alwil, Antigen, Apache, Application, Archieve, Asdf, Associate, Avast, Avg, Avira, Billing@, Black, Blah, Bleep, Bleeping, Builder, Canon, Center, Cillin, Cisco, Cmd, Cnet, Command, Command Prompt, Contoh, Control, Crack, Dark, Data, Database, Demo, Detik, Develop, Domain, Download,Esafe, Esave, Escan, Example, Feedback,Firewall, Foo@, Fuck, Fujitsu, Gateway, Google, Grisoft, Group, Hack, Hauri, Hidden, Hijack, Hp, Ibm, Info, Intel, Killbox, Komputer, Linux, Log Off Windows, Lotus, Macro, Malware, Master, Mcafee, Micro,Microsoft, Mozilla, Mysql, Netscape, Network, News, Nod32, Nokia, Norman, Norton, Novell, Nvidia, Opera, Overture, Panda, Patch, Postgre, Program, Proland, Prompt, Protect, Proxy, Recipient, Registry, Relay, Response, Robot, Scan, Script Host, Search R, Secure, Security, Sekur, Senior, Server, Service, Shut Down, Siemens, Smtp, Soft, Some, Sophos, Source, Spam, Spersky, Sun, Support, Sybari, Symantec, System Configuration, Task Kill, Taskkill, Test, Trend, Trust, Update, Utility, Vaksin, Virus, W3, Windows Security, Www, Xerox, Xxx, Your, Zdnet, Zend, Zombie Nota: estas cadenas pueden variar según la variante de Brontok analizada, se encuentran cifradas y son obtenidas del archivo del propio gusano , como se verá posteriomente. Brontok dispone de actualizaciones que se realizan a través de Internet en sitios que varían según versión y que son cerrados cada vez que son detectados. Para realizar estas acciones dispone de una rutina de generación de direcciones web de forma tal de complicar el rastreo por parte de los especialistas y autoridades. A continuación puede verse un intento de conexión y actualización del gusano : La primera versión de Brontok realizaba sus actualizaciones desde un sitio de hosting gratuito (geocities) pero al ser fácilmente detectable el/los autor/es del gusano prefirieron variar esta metodología haciendo que la dirección sea “aleatoria“ dentro de ciertos parámetros. Esta metodología ya fue utilizada previamente con buenos resultados por gusanos anteriores como Sober. En su primera etapa Brontok intenta conectar a [/size]

0
11
PosteameloArchivo Histórico de Taringa! (2004-2017). Preservando la inteligencia colectiva de la internet hispanohablante.

LEGAL

CONTACTO

18 de Septiembre 455, Casilla 52

Chillán, Región de Ñuble, Chile

Solo correo postal

© 2026 Posteamelo.com. No afiliado con Taringa! ni sus sucesores.

Contenido preservado con fines históricos y culturales.