:: Boring In The Chair ::

Boring In The Chair

Troyano capitalista

Archivado en Computer Security • Fecha: 26-05-2005 02:45:01

Sin duda gracioso y curioso, y eso si, para mas inri... una verdadera putada (hablando mal y pronto). Imaginarios la escena, accedeis a una pagina cualquiera, y aprovechando una vulnerabilidad solucionada hace 1 año para el navegador de Microsoft, Internet Explorer, te instala en el PC un troyano. Vale, hasta aqui todo normal, pero claro, este troyano se diferencia de los demas, en que busca en todo el disco duro 15 extensiones predefinidas (incluidos los ficheros de Microsoft Office, .doc, .xls, etc), cifra los ficheros que encuentra, borra los originales y exige a la víctima 200 dólares a cambio de la herramienta que permite descifrarlos. Esta es la manera de actuar del troyano:

- Inicialmente, el sitio malicioso descarga y ejecuta un troyano (downloader-aag) en la máquina de la víctima. Este troyano se conecta a otra página web, desde la que descarga una aplicación de cifrado, la renombra y la ejecuta.
- El programa malicioso de cifrado añade elementos al registro de Windows en:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Busca ficheros de texto en cualquier unidad de almacenamiento del ordenador víctima y los reemplaza por texto ilegible.
- Crea un fichero llamado autosav.ini donde guarda información sobre los ficheros que han sido cifrados.
- Crea un fichero tmp.bat en el directorio donde se ejecutó, para borrarse a sí mismo.
- Crea un fichero denominado Attention!!! que contiene las instrucciones para recuperar los ficheros, previo pago de 200 dólares a través de una cuenta en e-gold.com u otros.
- Envía un aviso al servidor desde donde se descargó.

¿Curioso verdad? Ya sabeis, no useis IE (publicidad subliminal), usar Firefox, Opera o el mismo Netscape.

Referencias:

KRIPTOPOLIS | Un troyano cifra ficheros y exige un rescate
Trojan PGPCoder | Informacion
Vulnerability in HTML Help Could Allow Code Execution | MS04-023