LUK
03-09-2009, 10:33
Mientras analizábamos una muestra de troyano, de repente ocurrió un hecho inesperado. El teclado y el ratón de la máquina desde la que se realizaba el análisis (infectada con el troyano) cobraron vida propia.
Lo primero que pensamos es que había algún problema con el teclado, pero tras unos segundos de duda quedó claro que no se estaban escribiendo caracteres aleatorios, sino que un mensaje muy claro cobraba forma. Era como tener un fantasma en la máquina.
No había duda, el botmaster había echado un ojo a nuestra máquina infectada y había decidido tomar control de la misma para contactar con nosotros, dado que el control remoto es una de las funcionalidades del troyano:
http://img529.imageshack.us/img529/8631/blog1h.jpg
A continuación se muestra una transcripción de la charla con el autor del troyano, al que aprovechamos para hacer algunas preguntas:
[botmaster] por que no dejas ya esta m**rda
quieres que te ayude un poco?
quieres que te explique como funciona este módulo?
es que me da risa ver las horas que pasas sudando intentando desensamblarlo
el codigo fuente claro que no te envio, lo siento
[S21sec e-crime] como te va con este troyano?
[botmaster] muy mal pues hay gente que lo coge e intenta desmantelar
[S21sec e-crime] siempre tienes una ventana de tiempo. no ha tenido exito?
[botmaster] no, infelizmente. el problema no es el troyano sino el banco
[S21sec e-crime] si no recuerdo mal, este era multibancario, no?
[botmaster] depende como se configura
[S21sec e-crime] es tu primer troyano bancario? lo has hecho desde 0?
[botmaster] no propiamente. lo que si te puede decir, es por lo que veo,
mas o menos ya tienes idea de como funciona, no vas a descubrir mucha cosa
nueva. es bastante sencillo. bueno, aparte de eso permite controlar el pc un
poco como ahora y nada más.
[S21sec e-crime] tienes mas troyanos para montar alguna botnet? es tu primer intento?
[botmaster] tengo como 1500 funcionando ahora mismo
[S21sec e-crime] y la botnet la explotas tu o la alquilas
[botmaster] bueno, tengo que marchar después charlamos
Vicente Díaz, József Gégény
S21sec e-crime (http://blog.s21sec.com/2009/09/entrevista-con-el-vampiro.html)
Lo primero que pensamos es que había algún problema con el teclado, pero tras unos segundos de duda quedó claro que no se estaban escribiendo caracteres aleatorios, sino que un mensaje muy claro cobraba forma. Era como tener un fantasma en la máquina.
No había duda, el botmaster había echado un ojo a nuestra máquina infectada y había decidido tomar control de la misma para contactar con nosotros, dado que el control remoto es una de las funcionalidades del troyano:
http://img529.imageshack.us/img529/8631/blog1h.jpg
A continuación se muestra una transcripción de la charla con el autor del troyano, al que aprovechamos para hacer algunas preguntas:
[botmaster] por que no dejas ya esta m**rda
quieres que te ayude un poco?
quieres que te explique como funciona este módulo?
es que me da risa ver las horas que pasas sudando intentando desensamblarlo
el codigo fuente claro que no te envio, lo siento
[S21sec e-crime] como te va con este troyano?
[botmaster] muy mal pues hay gente que lo coge e intenta desmantelar
[S21sec e-crime] siempre tienes una ventana de tiempo. no ha tenido exito?
[botmaster] no, infelizmente. el problema no es el troyano sino el banco
[S21sec e-crime] si no recuerdo mal, este era multibancario, no?
[botmaster] depende como se configura
[S21sec e-crime] es tu primer troyano bancario? lo has hecho desde 0?
[botmaster] no propiamente. lo que si te puede decir, es por lo que veo,
mas o menos ya tienes idea de como funciona, no vas a descubrir mucha cosa
nueva. es bastante sencillo. bueno, aparte de eso permite controlar el pc un
poco como ahora y nada más.
[S21sec e-crime] tienes mas troyanos para montar alguna botnet? es tu primer intento?
[botmaster] tengo como 1500 funcionando ahora mismo
[S21sec e-crime] y la botnet la explotas tu o la alquilas
[botmaster] bueno, tengo que marchar después charlamos
Vicente Díaz, József Gégény
S21sec e-crime (http://blog.s21sec.com/2009/09/entrevista-con-el-vampiro.html)