Yago Fernandez Hansen
Valoración de los usuarios: / 2
PobreEl mejor 
Addthis

troyan-virus

Para todos estos hackers interesados en la ingeniería inversa y en la forénsica, he encontrado un artículo publicado en Infosec, que les va a encantar. Se trata de realizar la ingeniería inversa de un conocido troyano: ZeroAccess, también llamado Max++ o Smiscer Crimeware rootkit. Este sofisticado troyano comercial (como casi todos, claro) de la escuela rusa (RBN) ofrece una completa suite de herramientas para la descarga y la ocultación de aplicaciones dañinas en forma de rootkit casi indetectable. Uno de los principales y más molestos usos de este troyano es la utilización de la falsa apariencia de un antivirus, que muestra un mensaje de advertencia por la detección de un virus en el sistema, solicitando 70$ para la compra de un antivirus que será capaz de eliminarlo.

ZeroAccess dispone de técnicas antiforénsicas, que dificultan el estudio de su comportamiento y la obtención de datos de la red criminal. Estas técnicas incluyen características como:

  • Ocultamiento en modo rootkit, que imposibilita su eliminación sin dañar al sistema operativo.
  • Creación de volúmenes ocultos en el disco duro a bajo nivel, lo que dificulta la forénsica del HDD.
  • Modificación de drivers del sistema para su ocultamiento y ocultamiento de herramientas.
  • Ocultación para antivirus.
  • Plataforma de descarga e infección de herramientas maliciosas en la máquina infectada.
  • Infección del Kernel y monitoreo mediante APC (asincronous procedure calls) para el robo de datos.

El siguiente artículo, explica en detalle el proceso de infección de la máquina víctima y se dedica a realizar las técnicas forénsicas mediante modificación del código del troyano. Espero que os guste, está dividido en cuatro partes, cada cual más interesante.

Guía paso a paso para la ingeniería inversa de ZeroAccess

Comentarios (0)
¡Sólo los usuarios registrados pueden escribir comentarios!

Acerca del autor Yago Fernandez Hansen


Yago Fernández Hansen cuenta con master en ingeniería de software, además de contar con mas de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades.


Más información en: Linkedin

Conocer mas sobre Yago Fernandez Hansen