Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Flimrans
General

El Flimrans es un tipo de ransomware, el cual bloquea la pantalla de la maquina infectada con un mensaje presuntamente proveniente del ICE (The ICE Cyber Crime Center).  En realidad este ransom funciona de manera similar a los conocidos como Reveton o Urausy donde se muestra un mensaje de advertencia procedente del servicio de policía nacional; dependiendo del país origen de la infección.

Al parecer aun no han creado un diseño para las maquinas provenientes de Colombia, por tal razón al momento de ejecutar el archivo se muestra un mensaje con los logos y bandera estadounidenses.

MD5: 041550b347da1ded96956701cac7a4c9
SHA256: 831af342eed7820a4bdfcf893ff431f481bdc032a471aaee8be11c9e4511bedb
SHA1: 945822fa178bb51055132910233732286d3a6737
Tamaño: 37.5 KB ( 38400 bytes ) 
Nombre: Flimrans.exe
Tipo: Win32 EXE
Detecciones: 32 / 47 
Fecha de análisis: 2013-06-03 06:36:09 UTC

UNPACKED
MD5: c089ed5949e23219da5aa7fe94597c56
SHA256: c14beb49cd34039d3b43e404a2385b8a779d7c4ed9ccac064e3a4f4db3be22dd
SHA1: 8b90ec1551a15c979b79aeac247e86707e8cc736 
Tamaño: 57.5 KB ( 58880 bytes ) 
Nombre: Flimrans.exe Ver strings
Tipo: Win32 EXE
Detecciones: 20 / 47 
Fecha de análisis: 2013-06-03 06:36:09 UTC

 

Información del archivo en ejecución

Después de ejecutar el troyano se puede visualizar la siguiente imagen, la cual impide el uso correcto del sistema sin importar la sesión con la cual se desee ingresar.

 

En este enlace se pueden ver los demas diseños dependiendo del pais de ubicacion. Flimrans

 

Análisis Básico

El archivo se ejecuta y se inyecta en el proceso svchost.exe con el fin de pasar las políticas del firewall y permitir el acceso a internet, así mismo crea una copia del mismo (la cual al parecer es eliminada posteriormente) y revisa los archivos temporales de internet.

 

Deshabilita el servicio de actualizaciones automáticas de Windows para evitar la instalación de parches y mejoras del sistema operativo.

 

Crea llaves de registro para iniciar automáticamente al iniciar el sistema (Run / AutoRun / Shell) enlazadas al archivo .exe, durante este proceso un librería .dll es descargada de internet y almacenada bajo el mismo nombre del ejecutable (para el caso de la prueba el nombre del archivo fue Flimrans.dll), para dicha dll también se crea la correspondiente llave en el registro (InProcServer32).

 

Se descarga y se crea la dll en el sistema en la misma ruta del ejecutable

 

Enlaces


Flimrans : Ransomware Office Central de la lutte contre la criminalité lié aux technologies

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos