Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

MBRlock   
General

El MBRlock es un troyano que bloquea completamente la ejecución del sistema operativo y por lo tanto la ejecución de cualquier tipo de software. Este malware detecta la partición de boot e infecta el MBR (Master Boot Record) que está localizado en el primer sector del disco duro y es el encargado de decirle a la maquina como cargar el sistema operativo y como esta particionado el disco.
Al ejecutar el archivo malicioso se cierran todos los programas en ejecución y se reinicia la maquina, a continuación aparece una ventana bloqueando la ejecución del S.O. y solicitando un código para desbloqueo. Así mismo los archivos sys3.exe y systm.txt son creados en la carpeta Configuracion Local\Temp de Windows

MD5: 70108103a53123201ceb2e921fcfe83c
SHA1: c71799a6a6d09ee758b04cdf90a4ab76fbd2a7e3
SHA256: 9c3f8df80193c085912c9950c58051ae77c321975784cc069ceacd4f57d5861d
ssdeep: 1536:3VrdxBvcGdDHHtWv8udA1JYREgJ/qEOpsChnU4V1lyqHv4vAmOG9HSDKRppppp5B:1H5D0dSgo7ppTV1lyqPOAmOG9HSOD

Nombre: PowerPoint.exe
Tamaño: 136.0 KB ( 139264 bytes )
Tipo: Win32 EXE
Arquitectura de maquina: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows GUI
SubsystemVersion: 4.0

TrID:

Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

IMPORTS:

ADVAPI32.dll: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken
SHELL32.dll: ShellExecuteA
CRTDLL.dll: sprintf
USER32.dll: ExitWindowsEx
KERNEL32.dll: CreateProcessA, GlobalAddAtomA, GlobalFindAtomA, GetVersion, GetTempPathA, GetTickCount, ExitProcess, GetModuleFileNameA, CopyFileA, Sleep, CloseHandle, GetModuleHandleA, GetCurrentProcess, CreateFileA, ReadFile, SetFilePointer, WriteFile, GetFileSize, GlobalAlloc, DeleteFileA

Deteccion: 33/41 (VirusTotal)
Fecha del analisis: 07-03-2012

Alias:
AntivirusResult
AvastWin32:MBRlock-B
AVGunknown virus Win32/DH.FF8203BF{00007000-00000000-00000000}
BitDefenderGen:Trojan.Heur.FU.imW@aCyKfA
McAfeeRansom!eh
MicrosoftTrojan:Win32/Ransom.DV
NOD32a variant of Win32/MBRlock.C
PandaSuspicious file
TrendMicroTROJ_GEN.R3EC2IE



Esta es la ventana que aparece cuando se está reiniciando la maquina y la que requiere del código de desbloqueo.



Al realizar un análisis estático al archivo .exe se pueden visualizar los Strings de creación para los archivos sys3.exe, systm.txt así como algunas dlls de Windows usadas por el troyano.

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos