Español | English
rss facebook linkedin Twitter

Entrevista con el vampiro

Mientras analizábamos una muestra de troyano, de repente ocurrió un hecho inesperado. El teclado y el ratón de la máquina desde la que se realizaba el análisis (infectada con el troyano) cobraron vida propia.
Lo primero que pensamos es que había algún problema con el teclado, pero tras unos segundos de duda quedó claro que no se estaban escribiendo caracteres aleatorios, sino que un mensaje muy claro cobraba forma. Era como tener un fantasma en la máquina.

No había duda, el botmaster había echado un ojo a nuestra máquina infectada y había decidido tomar control de la misma para contactar con nosotros, dado que el control remoto es una de las funcionalidades del troyano:



A continuación se muestra una transcripción de la charla con el autor del troyano, al que aprovechamos para hacer algunas preguntas:

[botmaster] por que no dejas ya esta m**rda
quieres que te ayude un poco?
quieres que te explique como funciona este módulo?
es que me da risa ver las horas que pasas sudando intentando desensamblarlo
el codigo fuente claro que no te envio, lo siento
[S21sec e-crime] como te va con este troyano?
[botmaster] muy mal pues hay gente que lo coge e intenta desmantelar
[S21sec e-crime] siempre tienes una ventana de tiempo. no ha tenido exito?
[botmaster] no, infelizmente. el problema no es el troyano sino el banco
[S21sec e-crime] si no recuerdo mal, este era multibancario, no?
[botmaster] depende como se configura
[S21sec e-crime] es tu primer troyano bancario? lo has hecho desde 0?
[botmaster] no propiamente. lo que si te puede decir, es por lo que veo,
mas o menos ya tienes idea de como funciona, no vas a descubrir mucha cosa
nueva. es bastante sencillo. bueno, aparte de eso permite controlar el pc un
poco como ahora y nada más.
[S21sec e-crime] tienes mas troyanos para montar alguna botnet? es tu primer intento?
[botmaster] tengo como 1500 funcionando ahora mismo
[S21sec e-crime] y la botnet la explotas tu o la alquilas
[botmaster] bueno, tengo que marchar después charlamos

Vicente Díaz, József Gégény
S21sec e-crime

8 comentarios:

tayoken dijo...

¡Qué bueno!

WiNSoCk dijo...

Menuda suerte, estudias el bicho y de paso al autor. ¡Que grande!

Edgard dijo...

Algo similar en:
http://hacking-avanzado.blogspot.com/2009/08/interesante-lectura-sobre-botnets.html
(link directo =
http://www.cisco.com/web/about/security/intelligence/bots.html)

Anónimo dijo...

Lo único que no termino de comprender es si estabas descompilando el código por algún motivo en especial ¿?

Anónimo dijo...

Wooow estoy impresionado, hasta parece cuento de ciencia ficción :D

Pj dijo...

¡Divertidísimo! :-D

Yo estuve el otro día intentando trastear con una botnet pero por allí no apareció nadie al cargo :'-(

ⓟⓡⓚ dijo...

Es lo que tiene debugear. Un día estás desempaquetando, el otro te están owneando ☻

Si todo esto es cierto... aún tuvisteis suerte de que tomase el control y os diérais cuenta, no?

Anónimo dijo...

Que bueno jaj! Pero dice con miedo que fuera suyo...


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login