Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano W32.Autoit.AA!tr / LockScreen.BAJ


Este es otro tipo de Ransomware, que usa los logos de diferentes organizaciones de derechos de autor en el mundo para cobrar una suma de $300 al usuario infectado.

SHA256: 0f427b33b824110427b2ba7be20740b45ea4da41bc1416dd55771edfb0c18f09
MD5: 2fc103d0d52466b63d44444ce12a5901
SHA1: 280465561270323754e7e9ec3dc3facb2a2aecee
File name: test1.exe Ver strings
Detection ratio: 31 / 47
Analysis date: 2013-11-16 VT

SHA256: 836806aabbd8fb83880fb27c2445132b8c33ee8b036bcd4267254bfe449d0cde
MD5: 2bbeb34bf05669fc1267ba52d0753281
SHA1: dc5f7331f6754947d6054aecad6f515874c4a6f8
File name: test1Unpacked.exe Ver strings
Detection ratio: 27 / 47
Analysis date: 2013-11-16 VT

Al analizar un poco su funcionamiento se observo el siguiente mensaje el cual es activado si se detecta un Debugger.


Crea los siguientes archivos en el sistema

C:\DOCUME~1\User\LOCALS~1\Temp\test1.exe
IDE#CdRomVBOX_CD-ROM_____________________________1.0_____#42562d3231303037333036372020202020202020#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
STORAGE#Volume#1&30a96598&0&Signature32B832B7Offset7E00Length27F4DB200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
C:\Documents and Settings\User\Local Settings\Temp\test1.exe
C:\Documents and Settings\User\Start Menu\Programs\Startup\ja.lnk
C:\Documents and Settings\User\Application Data\test1.exe
PIPE\srvsvc
PIPE\lsarpc
PIPE\wkssvc
PIPE\InitShutdown


Crea las siguientes llaves de registro

HKEY_CURRENT_USER\Control Panel\Mouse
HKEY_CURRENT_USER\Software\AutoIt v3\AutoIt
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7950-e3d2-11e0-8d7a-806d6172696f}\
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\CurVer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7950-e3d2-11e0-8d7a-806d6172696f}\\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}\ShellEx\IconHandler
HKEY_CLASSES_ROOT\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9}\Clsid
HKEY_CLASSES_ROOT\Folder
HKEY_CLASSES_ROOT\Folder\Clsid
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\.exe
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\exefile\CurVer
HKEY_CLASSES_ROOT\exefile\\ShellEx\IconHandler
HKEY_CLASSES_ROOT\SystemFileAssociations\.exe
HKEY_CLASSES_ROOT\SystemFileAssociations\application
HKEY_CLASSES_ROOT\exefile\\Clsid
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF
HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared
HKEY_LOCAL_MACHINE\Software\Microsoft\COM3
HKEY_LOCAL_MACHINE\Software\Classes\CLSID
CLSID\{00021401-0000-0000-C000-000000000046}
CLSID\{00021401-0000-0000-C000-000000000046}\TreatAs
CLSID\{00021401-0000-0000-C000-000000000046}\InprocServer32
CLSID\{00021401-0000-0000-C000-000000000046}\InprocServerX86
CLSID\{00021401-0000-0000-C000-000000000046}\LocalServer32
CLSID\{00021401-0000-0000-C000-000000000046}\InprocHandler32
CLSID\{00021401-0000-0000-C000-000000000046}\InprocHandlerX86
CLSID\{00021401-0000-0000-C000-000000000046}\LocalServer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{475c7952-e3d2-11e0-8d7a-806d6172696f}\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ProductOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

A través de la función CreateToolhelp32Snalshot busca y cierra los siguientes procesos:

iexplore.exe
firefox.exe
taskmgr.exe
explorer.exe

Y se reinicia el sistema a través de la funcion InitiateSystemShutdownExW. Al reiniciar se envía información de configuración de la maquina infectada y se descarga la imagen correspondiente al país de la victima.

 

Finalmente se crea la ventana encargada de mostrar la información que bloquea el sistema.

 

» ALEMANIA


» AUSTRIA


» BELGICA


» ESPAÑA


» FRANCIA


» GRECIA


» HOLANDA


» ITALIA


» PORTUGAL


» REINO UNIDO


» SUECIA


» SUIZA


» ESTADOS UNIDOS

 

Descarga

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
LockScreen.BAJ

 

Mosh
@nyxbone

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos