lunes, 7 de enero de 2013

Troyano policía Multi Locker Version 3



En los últimos tiempos se ha detectado un incremento de las infecciones producidas por el troyano Ramsomware , también llamado  Ramsomlock o Multi Locker o más comúnmente por el “Troyano de la policía” debido a que simula que el equipo ha sido intervenido y bloqueado por la policía hasta que no se pague una cuota por penalización legal que no es más que un fraude o estafa por parte de los criminales.

En esta ocasión se va a analizar el kit del Troyano MULTI LOCKER Versión ·

El equipo del usuario es comprometido al visitar el vector de infección:  

hxxp://62.76.45.94/exe.php

Que descarga el binario malicioso:

hXXp://62.76.45.94/colt.exe

Tamaño: 7680
MD5:baa5de00714b02660bfc092b53c449f7

La IP  62.76.45.94 esta alojada en el ISP Clodo-Cloud de Rusia

 Una vez que el equipo esta infectado el Malware modifica toda la configuración del sistema y del registro para que cada vez que el usuario reinicie el equipo automáticamente el troyano toma el control del mismo bloqueando todo el sistema,  además de presentar la pantalla falsa de la policía solicitando que pague la multa por supuestamente haber visitado contenidos ilegales de pornografía infantil o contra la propiedad intelectual

Esta pantalla falsa se descarga desde la dirección del servidor fraudulento:

hXXP://62.76.45.94/lending/tds.php

Que lo que hace es chequear la versión del idioma del navegador del usuario para mostrar la pantalla falsa en el idioma del usuario y con los correspondientes avisos legales o de los cuerpos policiales de dicho país.

 El código del script TDS.php es el siguiente:

 
Para el caso de los usuarios españoles mostraría la siguiente pantalla fraudulenta alojada en la dirección:

hXXP://62.76.45.94/lending/ES.php


En este caso la pantalla esta bastante mal diseñada no como en otros kits detectados bastantes mas detallados logrando engañar al usuario con la veracidad de la misma.
 
Los criminales pueden modificar las paginas de advertencia para lograr la apariencia de legalidad accediendo al mini editor que existe en el kit del Ramsomware también llamado por algunas casas antivirus como Ransomlock.

El panel se denomina MULTI LOCKER LENDING EDITOR y se accede mediante la URL:

Hxxp://62.76.45.94/lending/

 
Y la estructura de ficheros del KIT:



Si el usuario paga la cuota a través de los medios de pago por Internet UKASH, MoneyPack, etc el equipo será liberado una vez introducido el código del recibo que ofrecen estos medios de pago



Al panel estadístico del Ramsomware se accede mediante la página de acceso principal:



Una vez que se accede aparece la pantalla del menú principal del  KIT MULTI LOCKER Version 3
 
 
Con su menú estadístico de usuarios infectados
 


Y el menú de seguimiento de los usuarios que han pagado por desbloquear su equipo
 

  
La estructura de archivos del KIT es la siguiente:

Su panel de instalación:



No hay comentarios:

Publicar un comentario en la entrada

Nota: solo los miembros de este blog pueden publicar comentarios.