Ayer tuve una experiencia religiosa con un nuevo virus, troyano o porculero, como le querais llamar, la experiencia fue la siguiente:
1.- Me descargué de la mula una cosilla y sin darme cuenta ejecuté un fichero llamado LEEME.TXT.exe, a pesar de que en mi Ventanas había puesto que se viera la extensión se me fue el dedo y lo que ocurrió es que se me abrió una ventana del notepad indicándome no se que chorradas sobre un antivirus.
2.- Al cerrar la aplicación el ejecutable desapareció y eso y lo de la dobre extensión me hizo sospechar.
3.- Un hijo de la gran puta me había infectado.
4.- Inmediatamente desconecté internet y esperé a ver que ocurría.
5.- Por suerte mi pc no se había formateado ni había muerto, el creador del troyano me acabada de dar una segunda oportunidad para pararlo.
6.- Presioné CTRL+ALT+SUPR e intenté averiguar que proceso era el que infectaba el equipo, cosa que no conseguí saber pero descubrí algo muy interesante.
7.- Lo que descubrí es que al cerrar el proceso EXPLORER se me cerraba el explorador, por lo que la única ventana activa y visible era la del ADMNISTRADOR DE TAREAS, para restaurar el explorardor le dia ARCHIVO+EJECUTAR y abrí por ejemplo C:\. con eso se restaura el sistema pero OHHHH DIOS UNA VENTANA se abría lentamente mostrándome otra vez la dichosa advertencia sobre el antivirus. Después de ver como se abría la ventana vi como al mismo tiempo y antes de abrir la advertencia del antivirus mi Win ejecutaba algo en alguna ruta porque aparecía eso en una ventana.
8.- Probé varias veces a ver si era posible capturar la pantalla para ver la ruta de lo que se estaba ejecutando.
La ruta era C:\WINDOWS\SYSTEM32\BIFROST\SITE32.EXE. Este programita se autoejecutaba siempre que se "regeneraba" el sistema o se reinciaba. Entonces esto quiere decir que mi troyano se activaba siempre en cada reinicio.
9.- Me fui a esa ruta, me cargué el archivo, y todas las entrada en el registro que hicieran referencia a la ruta o al archivo "site32.exe".
10.- Después de esto me imaginaba que no todo había quedado ahí asi que se me ocurrio ejecutar en el CMD la sentencia NETSTAT -A
11.- Con esto podía ver las conexiones que había desde mi pc y pude comprobar que existía un programita que lanzaba una conexión TCP desde me pc a una ip en algún sitio.
12.- La ip era chuny.no-ip.com:14539.
13.- Por si alguien no conoce lo que es no-ip.com es muy fácil, es un sitio donde tu una persona que no tiene ip fija se conecta con este sitio y le comunica su nueva ip para que la gente siempre en vez de tener que decirle la ip que ha cambiado en este caso su ip fija será siempre CHUNY.NI-IP.COM.
14.- Es decir si mi yo te doy mi pseudóniomo CHUNY.NO-IP.COM y este servidor te redirige a mi ip dinámica ya que yo me encargo de comunicarle al servidor mi nueva ip cuando cambia.
15.- Pero en este caso no es necesario que ocurra todo esto para darse de alta en no-ip. En esta caso el que diseño el troyano que en mi caso se llama TROYANO BIFROST recomienda darse de alta en NO-IP.COM para que no conozcan la IP del atacante.
16.- Así cuando haces un NETSTAT -a no ver la ip del atacante sino la ip de NO-IP.
17.- Como el programa ya no estaba en ningún sitio reinicié el equipo y ya no apareció ni la ventana ni entrada alguna en el registro ni comunicación extraña en NETSTAT.
18.- Después de esto y de varios reinicios comprobe que todo había terminado.
19.- Esto es una experiencia que me he servido para conocerme mejor ....jejejejejej.
20.- El troyano que me infectó se llama BIFROST y es un servidor que se conecta a la ip de un atacante para dejarle vía libre en tu pc, en esta dirección podeis ver un video de como funciona.
http://es.youtube.com/watch?v=LlmqdQxmOGc, si no funciona podeis buscarlos en youtube como "BIFROST"
y se titula BIFROST DESDE 0 PASO A PASO.
Los creadores "creo" que son unos argentinos de la web http://troyanosyvirus.com.ar
Con el programa se pueden capturar pantallas de la víctima, ejecutar el registro, shell, keylogger, y muchas otras cosas.
Por ahora esta ha sido mi experiencia con este troyano que no durá más de media hora en mi pc.
Espero que todo lo que me infect sea como esto. menos mal que siempre nos quedará linux.
Salu2
No hay comentarios:
Publicar un comentario