- Otras noticias
Francia, España y Estados Unidos son los países con más ordenadores infectados
Service Pack 1 para Microsoft ISA Server 2004 Standard Edition
Nueva versión de BitDefender Mobile Security BETA
Múltiples vulnerabilidades en Apple QuickTime
Resurge la tecnología P2P para crear redes de BOTS
Desbordamiento de memoria intermedia en MaraDNS
Encuentan una vulnerabilidad de denegación de servicio en RealPlayer (archivos .MID).jpg)
Zafi-B lideró en agosto la lista virus informáticos más extendidos en el mundo
¿Piensas reciclar tu ordenador? Lee antes esto
Denegación de servicio local en función IPv6 del Kernel 2.6 de Linux
- En el foro
-
virus
Nuevos detalles sobre el virus de la policía
07 Mar 2012 | HISPASEC.COM
Abarca diferentes países
Una de las variantes descarga la imagen que va a mostrar en pantalla desde un servidor remoto. Hemos encontrado uno y comprobado qué imágenes aloja. Para mostrar la IP de la víctima en la imagen, usa el parámetro:
http://xxx.xxx.xxx.xxx/loc/gate.php?getip=getip
Y, de forma independiente, el servidor calcula el país según la dirección IP también, y así muestra diferentes imágenes. Las que hemos localizado son (por código de país) AT, DE, ES, FR, GB, IT, alojadas en:
http://xxx.xxx.xxx.xxx/pic/ES.bmp
Para tomar la imagen, hace una petición del tipo
http://xxx.xxx.xxx.xxx/loc/gate.php?getpic=getpic
Si a este GET, el servidor devuelve un "del" en texto claro, el troyano borrará la clave de registro que lo lanza al inicio del sistema operativo y matará la instancia activa. Los archivos permanecerán en el disco, pero al menos no se ejecutarán.
Un usuario infectado con un malware que acuda a una infraestructura caída, no notará nada en el sistema, puesto que no podrá acudir a descargar la imagen. Las sucesivas imágenes mostradas las hará desde el sistema local (no acude más que una vez a descargarlas).
Actualizaciones
El troyano hace una actualización periódica en dos pasos: primero acude a:
http://xxx.xxx.xxx.xxx/loc/gate.php?user=1&upg=upg
donde encuentra una URL desde la que realmente descargar el binario actualizado. Este se encontrará en
http://xxx.xxx.xxx.xxx/files/ABCD.exe
donde ABCD.exe es el nombre del usuario infectado. El nombre del ejecutable es así generado dinámicamente según el nombre de usuario de la víctima.
Se nos ocurre que esto podría ser aprovechado por ejemplo en una gran empresa, para desinfectar a los usuarios. Si canalizan el dominio o IP fraudulento hacia otro ejecutable que controle el administrador, podrían todas las máquinas acudir directamente al archivo y lanzarlo para eliminar el troyano. También se podría aprovechar la opción "del" que el programador ha incluido para eliminar las claves del registro que llaman al troyano.
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
