Más información sobre el virus de la policía

Una de las variantes descarga la imagen que va a mostrar en pantalla desde un servidor remoto. Hemos encontrado uno y comprobado qué imágenes aloja. Para mostrar la IP de la víctima en la imagen, usa el parámetro:

Y, de forma independiente, el servidor calcula el país según la dirección IP también, y así muestra diferentes imágenes. Las que hemos localizadoson (por código de país) AT, DE, ES, FR, GB, IT, alojadas en:

Para tomar la imagen, hace una petición del tipo

Si a este GET, el servidor devuelve un «del» en texto claro, el troyano borrará la clave de registro que lo lanza al inicio del sistema operativo y matará la instancia activa. Los archivos permanecerán en el disco, pero al menos no se ejecutarán.

Un usuario infectado con un malware que acuda a una infraestructura caída, no notará nada en el sistema, puesto que no podrá acudir a descargar la imagen. Las sucesivas imágenes mostradas las hará desde el sistema local (no acude más que una vez a descargarlas).

El troyano hace una actualización periódica en dos pasos: primero acude a:

donde encuentra una URL desde la que realmente descargar el binario actualizado. Este se encontrará en

donde ABCD.exe es el nombre del usuario infectado. El nombre del ejecutable es así generado dinámicamente según el nombre de usuario de la víctima.

Se nos ocurre que esto podría ser aprovechado por ejemplo en una gran empresa, para desinfectar a los usuarios. Si canalizan el dominio o IP fraudulento hacia otro ejecutable que controle el administrador, podrían todas las máquinas acudir directamente al archivo y lanzarlo para eliminar el troyano. También se podría aprovechar la opción «del» que el programador ha incluido para eliminar las claves del registro que llaman al troyano.

Más información:

Sergio de los Santos

Twitter: @ssantosv