Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano Ransom.YM / Meredrop / MulDrop4.27501
General

Encontré este ransomware entre algunos dominios .ru con direcciones IP 80.93.62.2, 134.0.116.18, 62.122.213.10 y 77.246.149.33. Aunque su código no es tan sofisticado como otros, puede crear problemas para algunos usuarios. Al igual que todos los troyanos de este tipo exige la cantidad de 1000 rublos para desbloquear la maquina infectada.

MD5: 1105c4df3562b7ac9aaa3bf6037397c9
SHA256: efd8f55e43b1ab6379cac9d2f037fe5260ffae11433fb076fad3b639f9f9d4df
SHA1: 5abd5e024b85078b9060e4eb75c9fc9c7549ad55
Tamaño: 197.7 KB ( 202448 bytes )
Nombre: TeenTube_90767.exe Ver strings
Tipo: Win32 EXE
Etiquetas: peexe
Detecciones: 27 / 46
Fecha de análisis: 2013-04-09 01:43:00 UTC

UNPACKED
MD5: 2b0d89587b59313e26ca8a5fb54db196
SHA256: e7fc8300fd164ec248ffde850e6cc73a9a010973828326f3f7ea57d828ee3199
SHA1: 7e171b08b1ce0b40de8bb6192e957d603deceb00
Tamaño: 102.0 KB ( 104448 bytes ) 
Nombre: meredrop.exe Ver strings
Tipo: Win32 EXE
Detecciones: 26 / 45 
Fecha de análisis: 2013-04-09 01:38:53 UTC

 

Información del archivo en ejecución

Después de ejecutar el troyano se genera la siguiente imagen que impide el uso del sistema.

Traducción a Ingles (aprox):

Your computer is blocked for viewing, copying and duplicating videos,
pedofilni and child abuse. to unlock you have to pay a fine
The funds in the form of transfer of:
1000 rubles for Beeline number: 89681039436
In the case of payment of a fine or an amount equal to the excess of its fiscal receipt terminal
operation code will be printed and the number of the terminal.
data must be entered in the appropriate fields and click 'Ravblokiroeatg.
(If you have problems with unlocking send an SMS with the operation code (with no symbols)
to this number for instructions on rayablokirovke your computer)
After the lock you must remove ese materials containing elements of violence and pedophilia
If e 24 hours fine is not paid, the case will be referred to the Office of 'K' for further
proceedings and to identify your e action elements of the crime
under 'm! st.242 UK FE
Nm "Code <> - '='> <= C <or = Warning! data not zoshifroeeny computer and any attempt to give progremnu
will be impossible to restore them!

 

Análisis

Al ingresar a ciertas URLs de origen ruso se descargaba directamente el archivo TeenTube_40761.exe (la cadena de números se genera de forma aleatoria), este es uno de los dominios que se vio afectado por el troyano.

 

Al analizar el archivo se detecto el ciclo encargado de crear los números de teléfono a través de la función XOR.

 

Seguido a esto se copia a sí mismo en el directorio C: bajo un nombre aleatorio, posteriormente se ejecuta la función que crea una llave en el registro para ejecutarse cada vez que inicia el sistema (los nombres de los archivos 14869.exe y 25415.exe son diferentes debido a que las imágenes fueron tomadas en momentos diferentes de la prueba, como ya se menciono el nombre del archivo se genera de forma aleatoria):

 

Después de crear la llave en el registro el troyano procede a crear la ventana que será visualizada por el usuario victima.

 

Para desbloquear el equipo se obtiene el código digitado en los espacios de la imagen previamente creada y se compara con los valores hexadecimales 75 y 37 correspondientes a los valores “7u”, de ser así se ejecuta la función en la dirección 00401CE0 la cual busca y muestra las ventanas bloqueadas.

 

Enlaces


How To Remove Virus "Trojan.MulDrop4.27501

 

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
TeenTube_90767
meredrop

 

Mosh
@nyxbone

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos