martes, agosto 26, 2014

Novedades para el mes de Agosto




Llegando agosto a su fin, en esta entrada recojo un resumen de todos los cambios realizados en el blog para que todos aquellos que llegáis de vacaciones y hayáis estado desconectados de la red, podáis informaros de las novedades.


Killtrojan Syslog v 1.40

Actualizado Killtrojan Syslog a la versión 1.40 donde se han corregido algunos errores de traducción. Actualmente se está trabajando en reportar las falsas detecciones de algunos antivirus, sobre todo para la versión en inglés.
Además ésta misma semana Killtrojan Syslog a superado las 110 descargas/Semana, un aumento considerable e importante que demuestra que aunque es una aplicación con funciones muy específicas cada día aumenta el número de usuarios que la usan.

Taller de Malware

Actualizado el documento “Detección y eliminación de malware” a la versión 1.3 donde se ha añadido información relativa a los secuestradores del navegador, además se ha actualizado el enlace de descarga del malware usado como práctica.
Como novedad se ha creado un segundo malware para practicar “Bubble.exe” y está disponible para ser descargado desde mediados de éste mes.
En un futuro está pensado escribir un nuevo documento para desinfección del Bubble.exe paso a paso con capturas de pantalla para realizar el proceso de detección y eliminación guiado.

Blog

El cambio más importante es la vuelta al antiguo blog donde se conservan las más de 300 entradas antiguas. Además se realizarán artículos semanales añadiendo contenido nuevo. Se está organizando una nueva sección que se abrirá próximamente pero todavía prefiero no desvelar los detalles, próximamente más noticias.

lunes, agosto 04, 2014

Asalto en Facebook: La estafa de los Networkers Marketers



El termino Networking es una palabra inglesa aparecida en los noventa que poco tiene que ver con lo que dicen ser esta serie de gente que se anuncia en facebook auto llamándose “Networkers”. No se debe confundir el Networking del “Networking Marketer” pués ésta gente son lo segundo, vendedores de productos muchas veces ilegales con un negocio que no se sostiene puesto que se requiere engañar a la gente para subsistir.

Éste tipo de gente realiza un “negocio” con una estructura piramidal donde engañan a la gente para que se unan a su actividad que trata básicamente de aprovecharse de la gente que dada las circunstancias de la crisis necesitan de alguna forma ganar algo de dinero. La situación llega hasta el punto que esta gente hace ver que viven una vida a lo grande, muy lejos de la realidad, donde prometen ganar mucho dinero y emprender un gran negocio sin jefes donde el único ganador es el propio emprendedor.

[Información sobre estafas multinivel y negocios piramidales]

domingo, agosto 03, 2014

Nuevo malware Omiga Plus: Adware.Win32.SupTab.81 / Zhangling.BCD



Hace unos días pude recuperar de un ordenador una variante del malware conocido como “Omiga”, un programa que se instala como si fuera un buscador parecido a google pero que aprovecha para mostrar publicidad por lo que su creador o creadores ganan dinero y aparte instala en el ordenador unos ejecutables que funcionan como downloaders y ralentizan la conexión a internet.

El malware crea los siguientes procesos “HpUI.exe” y “Loader32” o “Loader64” el sistema que tengamos donde mutuamente se verifican, en caso de que uno de ellos sea cerrado, en alrededor de cinco segundos vuelve a ser ejecutado y viceversa, de ésta forma el malware dificulta su eliminación por funcionar mediante dos procesos en paralelo.

domingo, abril 13, 2014

Cifrado Cesar: Automatizando la búsqueda de cadenas.



Hace unos años, cuando tenía bastante más tiempo para descargar y analizar binarios que contenían malware o propiamente se trataba de malware, muchas veces en los análisis encontraba cadenas cifradas con el "Olly Debugger". Decidí que lo más cómodo era crear una herramienta para automatizar y agilizar el descifrado de cadenas por translación.


El cifrado Cesar, es un caso concreto de un cifrado por traslación, a continuación detallaré el funcionamiento y dejaré en descarga la aplicación y el código fuente.

Método César

Este método de cifrado se remonta a los tiempos de julio cesar (mirar wikipedia para ver el rollo completo) donde en sus escritos tenia una forma bien curiosa para la época de cifrarlos. Esta técnica se conoce hoy dia como Cifrado César, y este consiste en sumar 3 posiciones exactas en el abecedario cambiando las letras, asi por ejemplo:

a b c d e f g h i ........

original --> a         cifrada ---> d

Aunque bueno, en la actualidad como decía todo esto a evolucionado y ya no solo se utilizan tres desplazamientos sinó los que el usuario quiere además tanto a la derecha como a la izquierda.

Cifrado de strings en virus.

Muchos de los virus que me encuentro como decía, llevan sus strings cifradas para ocultaras de la vista de los usuarios que analícen el gusano o de los antivirus. Para ello siempre se pierde bastante tiempo haciendo el análisis ya que en total hay para desplazar 27 posiciónes.

Aquí un ejemplo de un codigo cifrado sacado de un virus analizado mediante el ollydebugg:

Citar
sdmqdsmH[senrnqbhL[dq`vsenR[TBJG

Comprobando que fuera un caso genérico de cifrado César a mano, perderiamos bastante rato, ya que aparte de que nos podemos liar fácilemnte, hay bastantes casos para comprovar.

En este caso se descubrio, que la cifrado es una generalización de César que en vez de 3 posiciónes simplemente salta una y que luego revierte el resultado. Así que la cadena descifrada  y revertida es la siguiente

Citar
HKCU\Software\Microsoft\Internet

Automatizando

Vistos ya la explicación de este típo de cifrado sencillo pero eficaç,y con la gran cantidad de cadenas cifradas con estos métodos que encuentro decidí crearme un programa para desencriptarlas automáticamente y la verdad que se ahórra mucho tiempo y no hay posibilidad de fallo.

Aquí lo dejaré en descarga para la gente que analíza las cadenas de malware, el programa también se le pueden dar otros usos, incluso también aparte de descifrar puedes cifrar.



 
Contacto: albert_lopb@killtrojan.net