SlideShare una empresa de Scribd logo

Análisis técnico de win32 georbot

Yolanda Ruiz Hervás
Yolanda Ruiz Hervás

El documento describe un malware llamado Win32/Georbot que fue diseñado para robar información de sistemas infectados en Georgia. El malware puede enviar archivos del disco duro a un servidor remoto, robar certificados, buscar documentos de Word, configuraciones de escritorio remoto, tomar capturas de pantalla, grabar audio y video, y ejecutar comandos arbitrarios en sistemas infectados. Los operadores pueden controlar los sistemas infectados individualmente enviando comandos. La mayoría de las infecciones se encuentran en Georgia.

Tecnología
1 de 12
Descargar para leer sin conexión
Desde Georgia, con amor Nuevos ESET Smart Security 5 y ¿Está alguien intentando espiar a Georgia? ESET NOD32 Antivirus 5 Fernando de la Cuadra, director de Educación (fernando@ontinet.com) Josep Albors, director de Comunicación (josep@ontinet.com)
Win32/Georbot A principios de año, nuestros investigadores recibieron Resumen un nuevo ejemplar de malware que les llamó la atención. Uno de nuestros analistas se dio cuenta de El malware, denominado Win32/Georbot, tiene las siguientes que el este ejemplar se comunicaba con un dominio funcionalidades diseñadas para robar información de un sistema infectado: perteneciente al Gobierno de Georgia* para actualizarse. • Envía cualquier fichero desde el disco duro local a un servidor remoto. Tras un análisis, nos dimos cuenta que este malware • Roba certificados. era un troyano diseñado para robar información • Busca en el disco duro documentos Word. específica de ciudadanos de Georgia. Igualmente, • Busca en el disco duro ficheros de configuración del tuvimos acceso al panel de control de la amenaza, y escritorio remoto. • Realiza capturas de pantalla. descubrimos el alcance y la intención de esta • Graba audio usando el micrófono. operación. • Graba vídeo utilizando la webcam. • Analiza la red local para identificar ordenadores en la En este documento os dejamos toda la información misma red. acerca de esta operación. Es importante destacar que • Ejecuta comandos arbitrarios en el sistema infectado. tanto la Agencia de Intercambio de Datos del Ministerio de Justicia de Georgia así como su CERT Los comandos se activan de forma manual enviando las órdenes individualmente a cada ordenador infectado, en vez nacional estaban al corriente de la situación desde de lanzar comandos a toda la red de forma general. 2011 y que han cooperado con ESET en esta investigación. *Georgia el país, no el estado. Ver https://www.cia.gov/library/publications/the-world-factbook/geos/gg.html para más información
Win32/Georbot Vector de instalación En el dominio .gov.ge también encontramos un iframe apuntando a un servidor En algunas variantes hemos encontrado que el ejemplar revisaba con el sistema hospedado en la República Checa. El servidor no respondió cuando intentamos determinadas zonas horarias. Antes de instalarse, el bot analizaba si el obtener el fichero, sin embargo encontramos otra URL con el mismo patrón en ordenador estaba situado en las zonas UTC+3 o UTC+4. Solo los ordenadores otro servidor utilizado como C&C por Georbot. El fichero contenía un javascript situados en dichas coordenadas eran infectados. La siguiente imagen muestra ofuscado que llamaba a un iframe en otro dominio, legalcrf.in. Mientras que el los países situados en dichas franjas horarias. Esta revisión previa a la servidor se encontraba de nuevo inactivo, el servicio de navegación segura de instalación se ha eliminado en las versiones más actuales del bot que hemos Google indicaba que este dominio había servido exploits en el pasado, así que analizado. puede decirse que este había sido el principal vector de instalación del malware.
Win32/Georbot Ofuscación Las familias de malware más modernas utilizan packers hechos a medida para evitar ser detectados por los productos de seguridad. En este caso, el autor o autores de Win32/Georbot ofuscaron el malware ellos mismos. Y aunque la técnica de evasión es rudimentaria, el malware ha sido capaz de evitar ser detectado por algunos motores antivirus durante un período de tiempo. Ofuscación de la información Para ocultar cadenas como URL, direcciones IP y librerías DLL, Win32/Georbot utiliza una clave única localizada justo después de la sección que contiene la información ofuscada. Cuando el malware se ejecuta, descifra toda la sección de una vez. La función de descifrado realiza una simple resta en cada byte. Llamadas al API ofuscadas Las llamadas al API de Windows también están ocultas en el ejecutable. Antes Tabla !: la rutina hashedCall() de cada llamada al API, una función llamada hashedCall() toma como argumento el nombre de la DLL y un hash calculado a partir del nombre de la función De esta manera, Win32/Georbot esconde las funciones del API que está hashedCall() carga la librería, calculando el hash para cada función exportada y utilizando porque el binario solo incluye los hashes. Al generar una tabla de devolviendo un puntero donde se localiza la correspondiente función API. hashes de todas las funciones exportadas de los nombres de las DLL encontradas en el binario (después de descifrar la información), hemos podido identificar las llamadas.
Win32/Georbot Ofuscación del flujo Para engañar a los análisis estáticos, Win32/Georbot ofusca también la Estos dos controles de ofuscación del flujo se utilizan a veces a la vez. Aquí secuencia de instrucciones. Coloca instrucciones de retorno en el medio de las encontramos la sentencia push;retn entrelazada con un corto jmp. funciones. Los compiladores utilizan esta instrucción solo al final de la función, por lo tanto, la mayoría de los desensambladores estáticos pensarán que es el final de la función en la sentencia retn. La instrucción retn coge la dirección de la pila y la sitúa en el EIP. Win32/Georbot realiza esta acción para ofuscar las instrucciones jmp. Otra técnica utilizada por Win32/Georbot es la ofuscación de las instrucciones de llamada. Una instrucción de llamada hace dos cosas: fuerza el paso a la siguiente instrucción en la pila y entonces salta a la dirección suministrada. El malware realiza frecuentes llamadas con dos instrucciones equivalentes en su lugar. Un compilador nunca lo haría. Por ejemplo: La siguiente imagen muestra el efecto de arreglar el control de flujo convirtiendo las secuencias de instrucciones a su homólogo original. es equivalente a:
Win32/Georbot Automatizando el descifrado de estas tres técnicas es mucho más fácil entender Historial de versiones el comportamiento del malware: Este bot reporta su número de versión al servidor C&C cuando se conecta a él, lo que nos ha ayudado a reconstruir la historia del malware. La siguiente lista muestra el historial de versiones que nos ha permitido averiguar cuándo ha sido lanzado cada ejemplar. Septiembre 2010 Sin número de versión Febrero 2011 2.4.1 Abril 2011 3.3 Julio 2011 4.1 Enero 2012 5.2, 5.3, 5.4 Febrero 2012 5.5
Win32/Georbot Comandos del bot En la última versión, el bot puede recibir hasta 19 comandos diferentes. La find [PATTERN] Busca nombres de ficheros que contengan el patrón técnica de ofuscación del API también se utiliza para los nombres de comando dir [FOLDER] Lista el directorio de una carpeta en el ejecutable, pero sorprendentemente los comandos son envíados en texto load [URL] Descarga el ejecutable específico y lo añade al autorun plano por el servidor C&C. Como no hemos visto todos los nombres de Upload [PATH] Sube el fichero específico al C&C comandos en las trazas de red, hemos obtenido el resto extrayendo los hashes upload_dir [FOLDER] Sube el contenido de una carpeta al C&C del ejecutable y utilizando la fuerza bruta con un diccionario. main Lista los directorios y los envía al C&C list [FOLDER] Lista los ficheros de una carpeta ddos [domain] Arranca un ataque DDoS contra un dominio scan Devuelve una lista de todos los nombres de dominios de una red local word [KEYWORDS] Busca documentos de Word que contengan una de las palabras clave system Envía las letras de las unidades de disco al C&C dump Envia el contenido de carpetas y subcarpetas al C&C photo Captura pantallazos del escritorio audio Captura audio del micrófono rdp Roba configuraciones RDP (.rdp) video Captura vídeo de una webcam passwords Roba passwords del navegador (Internet Explorer,Opera) history Roba el historial del navegador (Internet Explorer,Opera) screenshot Captura un pantallazo y lo envía al C&C.
Win32/Georbot Comunicación con el centro de mando y control Protocolo de comunicación Win32/Georbot utiliza HTTP (HyperText Transfer Protocol) para comunicarse con su centro de mando y control (C&C). A lo largo del tiempo, algunos centros de control han sido utilizados en diferentes países, como en Alemania, República Checa y Estados Unidos. Para reportar al servidor central y pedir instrucciones, el En este ejemplo, el botmaster ordena al bot capturar un pantallazo y subirlo al bot utiliza una petición HTTP GET cada minuto con los siguientes parámetros: servidor central. ver la versión del bot Mecanismo de actualización cam averigua si el sistema infectado tiene una camara p un identificador del bot. Todas las variantes que hemos Win32/Georbot se conecta regularmente con su servidor central para buscar la última analizado utilizan la cadena “bot123” versión del ejecutable del bot. Estas conexiones también se realizan utilizando id Un identificador único usado para diferenciar entre bots. Se HTTP. El servidor devuelve un binario, coficiado en base64, embebido en una página forma a partir del número de serie del primer disco duro. HTML. Hemos identificado más de mil actualizaciones, las más antiguas de Septiembre de 2010. El bot se actualiza cada par de días, y algunas veces introduce Por ejemplo: nuevas funcionalidades, pero en la mayoría de los casos simplemente son mecanismos para evadir la detección antivirus. Mecanismos alternativos Después de recibir la consulta, el servidor central responde con contenido en Si un sistema infectado es incapaz de conectarse al servidor central, vuelve a lanzar HTML (HyperText Markup Language) como el siguiente: sus consultas pero a una página alojada en un dominio del Gobierno de Georgia. Ha sido precisamente este dominio alternativo lo que nos llamó la atención y el origen de la investigación.
Win32/Georbot A partir de aquí, Georbot continúa con sus operaciones normales utilizando la dirección IP obtenida como servidor central. Figura 2: Mecanismo alternativo utilizado por Win32/Georbot En primer lugar, el malware intenta alcanzar el centro de control mediante el comando que contiene su binario. Si el centro de mando y control no responde, Georbot busca un documento alojado en el website del Gobierno de Georgia. Seguidamente, lleva a cabo un análisis buscando el marcador ‘||||’. Si está presente, este marcador oculta la dirección IP del centro de control o servidor central.
Win32/Georbot Interfaz de control y hosts objetivo País Porcentaje de infecciones Hemos tenido acceso al panel de control de la botnet, que nos ha suministrado Georgia 70,45% información detallada de la operación y detalles de los motivos de los cibercriminales. El panel contiene unos doscientos hosts infectados. Estados Unidos 5,07% Alemania 3,88% Rusia 3,58% Canadá 1,49% Ucrania 1,49% Francia 1,19% Otros 12,83% El panel de control también contiene el historial de los comandos enviados a los bots. Mientras que la funcionalidad de grabación de vídeo vía webcam, la captura de pantallazos o lanzar ataques DDoS se ha usado un par de veces, la mayoría de los comandos eran para obtener listados de directorios, para realizar búsquedas y para Tabla 2: Panel de control de Georbot. descargar ficheros y analizar la red. Sobre todo, la información más interesante que hemos podido recopilar del panel ha sido la lista de palabras clave utilizada para De todos los hosts infectados, el 70% están localizados en Georgia, seguidos de buscar documentos. Las siguientes listas han sido utilizadas para encontrar Estados Unidos, Alemania y Rusia. El panel web también tiene una funcionalidad documentos que contenían al menos una de las palabras, sin dejar lugar a dudas que permite el marcado de host interesantes. Seis hosts habían sido marcados sobre la intención de los operadores de esta botnet. cuando accedimos al panel: tres en Georgia, uno en Rusia, uno en Suecia y otro más en China.
Win32/Georbot Conclusión Las características de Win32/Georbot indica que ha sido creado para recopilar información de los ordenadores infectados. Esta amenaza tiene todas las capacidades necesarias para infectar y robar información. El hecho de que utilicen una dirección web de Georgia para actualizar sus comandos y la información de control, y que probablemente utiliza el mismo dominio para difundirse parece indicar que los ciudadanos de Georgia son su principal objetivo. Por otro lado, el nivel de sofisticación de esta amenaza es bajo. Pensamos que si esta operación hubiera sido promovida por un estado, hubiese sido más profesional y sigilosa. La hipótesis quizá más acertada es que Win32/Georbot ha sido creado por un grupo de cibercriminales que intentaban acceder a información sensible para Todos los documentos descargados habían sido borrados del servidor, por lo que venderla a otras organizaciones. Deben operar desde Georgia y han sido no podemos afirmar si la búsqueda fue exitosa o no. afortunados al conseguir controlar el dominio del gobierno, utilizándolo como parte de su operación. El desarrollo de este malware continúa: hemos encontrado nuevas variantes distribuyéndose. La más reciente, del 8 de marzo. Así que seguimos investigando.
Win32/Georbot Anexo: hashes MD5 analizados Para otros investigadores interesados en investigar este malware, esta es la lista de hashes de ficheros que hemos visto en la familia de malware Win32/Georbot. Están listados en orden cronológico.

Recomendados

Examen info1
Examen info1Examen info1
Examen info1Rene Torres Visso
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoJhon Jairo Hernandez
 
Viru
ViruViru
Viru
Fabio Diaz
 
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)
Yolanda Ruiz Hervás
 
The viscosity of silica nanoparticle dispersions in permeable media
The viscosity of silica nanoparticle dispersions in permeable mediaThe viscosity of silica nanoparticle dispersions in permeable media
The viscosity of silica nanoparticle dispersions in permeable media
UO
 
Traduccion petrofisica de rocas
Traduccion petrofisica de rocas Traduccion petrofisica de rocas
Traduccion petrofisica de rocas UO
 
62939777 3000-caracteres-chinos
62939777 3000-caracteres-chinos62939777 3000-caracteres-chinos
62939777 3000-caracteres-chinos
yurijoselyn1997
 
Arquitectura e implementación de PostgreSQL 9.3
Arquitectura e implementación de PostgreSQL 9.3Arquitectura e implementación de PostgreSQL 9.3
Arquitectura e implementación de PostgreSQL 9.3
Bryan Rodríguez
 

Recomendados

Examen info1
Examen info1Examen info1
Examen info1Rene Torres Visso
 
Herramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoHerramientas para analisis_forense_informatico_clase_cuarta_uao
Herramientas para analisis_forense_informatico_clase_cuarta_uaoJhon Jairo Hernandez
 
Viru
ViruViru
Viru
Fabio Diaz
 
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)
ESET NOD32 España: Informe cuatrimestral de seguridad (enero - abril 2013)
Yolanda Ruiz Hervás
 
The viscosity of silica nanoparticle dispersions in permeable media
The viscosity of silica nanoparticle dispersions in permeable mediaThe viscosity of silica nanoparticle dispersions in permeable media
The viscosity of silica nanoparticle dispersions in permeable media
UO
 
Traduccion petrofisica de rocas
Traduccion petrofisica de rocas Traduccion petrofisica de rocas
Traduccion petrofisica de rocas UO
 
62939777 3000-caracteres-chinos
62939777 3000-caracteres-chinos62939777 3000-caracteres-chinos
62939777 3000-caracteres-chinos
yurijoselyn1997
 
Arquitectura e implementación de PostgreSQL 9.3
Arquitectura e implementación de PostgreSQL 9.3Arquitectura e implementación de PostgreSQL 9.3
Arquitectura e implementación de PostgreSQL 9.3
Bryan Rodríguez
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
Julian Maximiliano Zarate
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentestingakencito
 
Ya revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traserasYa revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traseras
Tensor
 
Dorkbot: Conquistando Latinoamérica
Dorkbot: Conquistando LatinoaméricaDorkbot: Conquistando Latinoamérica
Dorkbot: Conquistando Latinoamérica
ESET Latinoamérica
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
Mario Alberto Parra Alonso
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
Susana13
Susana13Susana13
Susana13guestb98763
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
bayuwidiatmoko
 
Presentacion eduin gonzalez
Presentacion eduin gonzalezPresentacion eduin gonzalez
Presentacion eduin gonzalezEduin Gonzalez Tabares
 
Malware for Linux
Malware for LinuxMalware for Linux
Malware for Linux
Adario de León
 
Curso linux clase_2_2012
Curso linux clase_2_2012Curso linux clase_2_2012
Curso linux clase_2_2012Dario Villafañe
 
FONTIC: Introducción al desarrollo en Android
FONTIC: Introducción al desarrollo en AndroidFONTIC: Introducción al desarrollo en Android
FONTIC: Introducción al desarrollo en Android
Román Hernández
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
Eventos Creativos
 
Tutorial de programación
Tutorial de programaciónTutorial de programación
Tutorial de programaciónvictdiazm
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
Dani Adastra
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
Dani Adastra
 
Winulator grupo6
Winulator grupo6Winulator grupo6
Winulator grupo6Daniel Flores
 
Virus y vacunas informaticas2
Virus y vacunas informaticas2Virus y vacunas informaticas2
Virus y vacunas informaticas2
dabeguio
 
Present3
Present3Present3
Present3
Rafael Cornejo Martinez
 
Back track
Back trackBack track
Back trackJules Krdenas
 
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Yolanda Ruiz Hervás
 
Informe cuatrimestral-eset-españa
Informe cuatrimestral-eset-españaInforme cuatrimestral-eset-españa
Informe cuatrimestral-eset-españa
Yolanda Ruiz Hervás
 

Más contenido relacionado

Similar a Análisis técnico de win32 georbot

Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
Julian Maximiliano Zarate
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentestingakencito
 
Ya revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traserasYa revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traseras
Tensor
 
Dorkbot: Conquistando Latinoamérica
Dorkbot: Conquistando LatinoaméricaDorkbot: Conquistando Latinoamérica
Dorkbot: Conquistando Latinoamérica
ESET Latinoamérica
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
Mario Alberto Parra Alonso
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
bayuwidiatmoko
 
Malware for Linux
Malware for LinuxMalware for Linux
Malware for Linux
Adario de León
 
FONTIC: Introducción al desarrollo en Android
FONTIC: Introducción al desarrollo en AndroidFONTIC: Introducción al desarrollo en Android
FONTIC: Introducción al desarrollo en Android
Román Hernández
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
Eventos Creativos
 
Tutorial de programación
Tutorial de programaciónTutorial de programación
Tutorial de programaciónvictdiazm
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
Dani Adastra
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
Dani Adastra
 
Virus y vacunas informaticas2
Virus y vacunas informaticas2Virus y vacunas informaticas2
Virus y vacunas informaticas2
dabeguio
 

Similar a Análisis técnico de win32 georbot (20)

Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
 
Episodio de pentesting
Episodio de pentestingEpisodio de pentesting
Episodio de pentesting
 
Ya revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traserasYa revisaste si tu router tiene puertas traseras
Ya revisaste si tu router tiene puertas traseras
 
Dorkbot: Conquistando Latinoamérica
Dorkbot: Conquistando LatinoaméricaDorkbot: Conquistando Latinoamérica
Dorkbot: Conquistando Latinoamérica
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Forense android
Forense androidForense android
Forense android
 
Susana13
Susana13Susana13
Susana13
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
 
Presentacion eduin gonzalez
Presentacion eduin gonzalezPresentacion eduin gonzalez
Presentacion eduin gonzalez
 
Malware for Linux
Malware for LinuxMalware for Linux
Malware for Linux
 
Curso linux clase_2_2012
Curso linux clase_2_2012Curso linux clase_2_2012
Curso linux clase_2_2012
 
FONTIC: Introducción al desarrollo en Android
FONTIC: Introducción al desarrollo en AndroidFONTIC: Introducción al desarrollo en Android
FONTIC: Introducción al desarrollo en Android
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 
Tutorial de programación
Tutorial de programaciónTutorial de programación
Tutorial de programación
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
 
H-Con 2018: Hacking con Python
H-Con 2018: Hacking con PythonH-Con 2018: Hacking con Python
H-Con 2018: Hacking con Python
 
Winulator grupo6
Winulator grupo6Winulator grupo6
Winulator grupo6
 
Virus y vacunas informaticas2
Virus y vacunas informaticas2Virus y vacunas informaticas2
Virus y vacunas informaticas2
 
Present3
Present3Present3
Present3
 
Back track
Back trackBack track
Back track
 

Más de Yolanda Ruiz Hervás

Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Yolanda Ruiz Hervás
 
Informe cuatrimestral-eset-españa
Informe cuatrimestral-eset-españaInforme cuatrimestral-eset-españa
Informe cuatrimestral-eset-españa
Yolanda Ruiz Hervás
 
Fraude en el mercado de compra venta de segunda mano - ESET España
Fraude en el mercado de compra venta de segunda mano - ESET EspañaFraude en el mercado de compra venta de segunda mano - ESET España
Fraude en el mercado de compra venta de segunda mano - ESET España
Yolanda Ruiz Hervás
 
Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)
Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)
Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)
Yolanda Ruiz Hervás
 
Guia de seguridad digital del trabajador - ESET NOD32 Antivirus
Guia de seguridad digital del trabajador - ESET NOD32 AntivirusGuia de seguridad digital del trabajador - ESET NOD32 Antivirus
Guia de seguridad digital del trabajador - ESET NOD32 Antivirus
Yolanda Ruiz Hervás
 
Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2
Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2
Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2Yolanda Ruiz Hervás
 
Eset nod32-antivirus-consejos-seguridad-vacaciones
Eset nod32-antivirus-consejos-seguridad-vacacionesEset nod32-antivirus-consejos-seguridad-vacaciones
Eset nod32-antivirus-consejos-seguridad-vacaciones
Yolanda Ruiz Hervás
 
ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook
ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de FacebookESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook
ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook
Yolanda Ruiz Hervás
 
ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...
ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...
ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...
Yolanda Ruiz Hervás
 
Eset España NOD32 Antivirus - Informe técnico troyano para Android Boxer
Eset España NOD32 Antivirus - Informe técnico troyano para Android BoxerEset España NOD32 Antivirus - Informe técnico troyano para Android Boxer
Eset España NOD32 Antivirus - Informe técnico troyano para Android Boxer
Yolanda Ruiz Hervás
 
ESET España - NOD32 Antivirus - Cibercrimen 2012
ESET España - NOD32 Antivirus - Cibercrimen 2012ESET España - NOD32 Antivirus - Cibercrimen 2012
ESET España - NOD32 Antivirus - Cibercrimen 2012
Yolanda Ruiz Hervás
 
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Yolanda Ruiz Hervás
 
Eset españa informe cuatrimestral de seguridad (mayo agosto)
Eset españa informe cuatrimestral de seguridad (mayo agosto)Eset españa informe cuatrimestral de seguridad (mayo agosto)
Eset españa informe cuatrimestral de seguridad (mayo agosto)
Yolanda Ruiz Hervás
 
Informe cuatrimestral de seguridad eset españa
Informe cuatrimestral de seguridad eset españaInforme cuatrimestral de seguridad eset españa
Informe cuatrimestral de seguridad eset españa
Yolanda Ruiz Hervás
 
Informe Anual de Seguridad de ESET España
Informe Anual de Seguridad de ESET EspañaInforme Anual de Seguridad de ESET España
Informe Anual de Seguridad de ESET España
Yolanda Ruiz Hervás
 
Estudio de seguridad en móviles - lanzamiento ESET Mobile Security para Android
Estudio de seguridad en móviles - lanzamiento ESET Mobile Security para AndroidEstudio de seguridad en móviles - lanzamiento ESET Mobile Security para Android
Estudio de seguridad en móviles - lanzamiento ESET Mobile Security para Android
Yolanda Ruiz Hervás
 
Informe tns la influencia de internet en las decisiones de compra (1)
Informe tns la influencia de internet en las decisiones de compra (1)Informe tns la influencia de internet en las decisiones de compra (1)
Informe tns la influencia de internet en las decisiones de compra (1)Yolanda Ruiz Hervás
 
Panda Security: Corporate Presentation
Panda Security: Corporate PresentationPanda Security: Corporate Presentation
Panda Security: Corporate PresentationYolanda Ruiz Hervás
 

Más de Yolanda Ruiz Hervás (20)

Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
Penetracion de las nuevas tecnologias en el comercio local de Alimentación y ...
 
Informe cuatrimestral-eset-españa
Informe cuatrimestral-eset-españaInforme cuatrimestral-eset-españa
Informe cuatrimestral-eset-españa
 
Fraude en el mercado de compra venta de segunda mano - ESET España
Fraude en el mercado de compra venta de segunda mano - ESET EspañaFraude en el mercado de compra venta de segunda mano - ESET España
Fraude en el mercado de compra venta de segunda mano - ESET España
 
Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)
Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)
Informe cuatrimestral de Seguridad ESET NOD32 Antivirus 2014 (enero-abril)
 
Guia de seguridad digital del trabajador - ESET NOD32 Antivirus
Guia de seguridad digital del trabajador - ESET NOD32 AntivirusGuia de seguridad digital del trabajador - ESET NOD32 Antivirus
Guia de seguridad digital del trabajador - ESET NOD32 Antivirus
 
Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2
Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2
Eset nod32 antivirus_informe_cuatrimestral_seguridad_2013_mayo_agosto2
 
Eset nod32-antivirus-consejos-seguridad-vacaciones
Eset nod32-antivirus-consejos-seguridad-vacacionesEset nod32-antivirus-consejos-seguridad-vacaciones
Eset nod32-antivirus-consejos-seguridad-vacaciones
 
las-1000-redes-sociales-del-mundo
las-1000-redes-sociales-del-mundolas-1000-redes-sociales-del-mundo
las-1000-redes-sociales-del-mundo
 
ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook
ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de FacebookESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook
ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook
 
ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...
ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...
ESET NOD32 Antivirus - Informe anual de Seguridad - Facebook y Twitter, prota...
 
Eset España NOD32 Antivirus - Informe técnico troyano para Android Boxer
Eset España NOD32 Antivirus - Informe técnico troyano para Android BoxerEset España NOD32 Antivirus - Informe técnico troyano para Android Boxer
Eset España NOD32 Antivirus - Informe técnico troyano para Android Boxer
 
ESET España - NOD32 Antivirus - Cibercrimen 2012
ESET España - NOD32 Antivirus - Cibercrimen 2012ESET España - NOD32 Antivirus - Cibercrimen 2012
ESET España - NOD32 Antivirus - Cibercrimen 2012
 
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
Análisis técnico de Flashback, el troyano para Mac que ya ha infectado a más ...
 
Eset españa informe cuatrimestral de seguridad (mayo agosto)
Eset españa informe cuatrimestral de seguridad (mayo agosto)Eset españa informe cuatrimestral de seguridad (mayo agosto)
Eset españa informe cuatrimestral de seguridad (mayo agosto)
 
Informe cuatrimestral de seguridad eset españa
Informe cuatrimestral de seguridad eset españaInforme cuatrimestral de seguridad eset españa
Informe cuatrimestral de seguridad eset españa
 
Informe Anual de Seguridad de ESET España
Informe Anual de Seguridad de ESET EspañaInforme Anual de Seguridad de ESET España
Informe Anual de Seguridad de ESET España
 
Estudio de seguridad en móviles - lanzamiento ESET Mobile Security para Android
Estudio de seguridad en móviles - lanzamiento ESET Mobile Security para AndroidEstudio de seguridad en móviles - lanzamiento ESET Mobile Security para Android
Estudio de seguridad en móviles - lanzamiento ESET Mobile Security para Android
 
Informe tns la influencia de internet en las decisiones de compra (1)
Informe tns la influencia de internet en las decisiones de compra (1)Informe tns la influencia de internet en las decisiones de compra (1)
Informe tns la influencia de internet en las decisiones de compra (1)
 
Panda Security: Corporate Presentation
Panda Security: Corporate PresentationPanda Security: Corporate Presentation
Panda Security: Corporate Presentation
 
Malware Fighting
Malware FightingMalware Fighting
Malware Fighting
 

Último

modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
evelinglilibethpeafi
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
sarasofiamontezuma
 
Trabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De ProgramaciónTrabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De Programación
SofiaCollazos
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
AMADO SALVADOR
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024
julio05042006
 
absorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratoriosabsorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratorios
JuanAlvarez413513
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
AMADO SALVADOR
 
Presentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The CleanPresentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The Clean
juanchogame18
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
ValeriaAyala48
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
yuki22434
 
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
AMADO SALVADOR
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Festibity
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
TEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.ppt
TEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.pptTEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.ppt
TEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.ppt
SandroNava1
 

Último (20)

modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Trabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De ProgramaciónTrabajo tecnología sobre Conceptos Básicos De Programación
Trabajo tecnología sobre Conceptos Básicos De Programación
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024
 
absorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratoriosabsorcion de gases y practicas de laboratorios
absorcion de gases y practicas de laboratorios
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
 
Presentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The CleanPresentacion de Estado del Arte del The Clean
Presentacion de Estado del Arte del The Clean
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
 
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
TEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.ppt
TEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.pptTEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.ppt
TEMA 2-CARPAS SOLARES PARA PRODUCCION DE HORTALIZAS.ppt
 

Análisis técnico de win32 georbot

  • 1. Desde Georgia, con amor Nuevos ESET Smart Security 5 y ¿Está alguien intentando espiar a Georgia? ESET NOD32 Antivirus 5 Fernando de la Cuadra, director de Educación (fernando@ontinet.com) Josep Albors, director de Comunicación (josep@ontinet.com)
  • 2. Win32/Georbot A principios de año, nuestros investigadores recibieron Resumen un nuevo ejemplar de malware que les llamó la atención. Uno de nuestros analistas se dio cuenta de El malware, denominado Win32/Georbot, tiene las siguientes que el este ejemplar se comunicaba con un dominio funcionalidades diseñadas para robar información de un sistema infectado: perteneciente al Gobierno de Georgia* para actualizarse. • Envía cualquier fichero desde el disco duro local a un servidor remoto. Tras un análisis, nos dimos cuenta que este malware • Roba certificados. era un troyano diseñado para robar información • Busca en el disco duro documentos Word. específica de ciudadanos de Georgia. Igualmente, • Busca en el disco duro ficheros de configuración del tuvimos acceso al panel de control de la amenaza, y escritorio remoto. • Realiza capturas de pantalla. descubrimos el alcance y la intención de esta • Graba audio usando el micrófono. operación. • Graba vídeo utilizando la webcam. • Analiza la red local para identificar ordenadores en la En este documento os dejamos toda la información misma red. acerca de esta operación. Es importante destacar que • Ejecuta comandos arbitrarios en el sistema infectado. tanto la Agencia de Intercambio de Datos del Ministerio de Justicia de Georgia así como su CERT Los comandos se activan de forma manual enviando las órdenes individualmente a cada ordenador infectado, en vez nacional estaban al corriente de la situación desde de lanzar comandos a toda la red de forma general. 2011 y que han cooperado con ESET en esta investigación. *Georgia el país, no el estado. Ver https://www.cia.gov/library/publications/the-world-factbook/geos/gg.html para más información
  • 3. Win32/Georbot Vector de instalación En el dominio .gov.ge también encontramos un iframe apuntando a un servidor En algunas variantes hemos encontrado que el ejemplar revisaba con el sistema hospedado en la República Checa. El servidor no respondió cuando intentamos determinadas zonas horarias. Antes de instalarse, el bot analizaba si el obtener el fichero, sin embargo encontramos otra URL con el mismo patrón en ordenador estaba situado en las zonas UTC+3 o UTC+4. Solo los ordenadores otro servidor utilizado como C&C por Georbot. El fichero contenía un javascript situados en dichas coordenadas eran infectados. La siguiente imagen muestra ofuscado que llamaba a un iframe en otro dominio, legalcrf.in. Mientras que el los países situados en dichas franjas horarias. Esta revisión previa a la servidor se encontraba de nuevo inactivo, el servicio de navegación segura de instalación se ha eliminado en las versiones más actuales del bot que hemos Google indicaba que este dominio había servido exploits en el pasado, así que analizado. puede decirse que este había sido el principal vector de instalación del malware.
  • 4. Win32/Georbot Ofuscación Las familias de malware más modernas utilizan packers hechos a medida para evitar ser detectados por los productos de seguridad. En este caso, el autor o autores de Win32/Georbot ofuscaron el malware ellos mismos. Y aunque la técnica de evasión es rudimentaria, el malware ha sido capaz de evitar ser detectado por algunos motores antivirus durante un período de tiempo. Ofuscación de la información Para ocultar cadenas como URL, direcciones IP y librerías DLL, Win32/Georbot utiliza una clave única localizada justo después de la sección que contiene la información ofuscada. Cuando el malware se ejecuta, descifra toda la sección de una vez. La función de descifrado realiza una simple resta en cada byte. Llamadas al API ofuscadas Las llamadas al API de Windows también están ocultas en el ejecutable. Antes Tabla !: la rutina hashedCall() de cada llamada al API, una función llamada hashedCall() toma como argumento el nombre de la DLL y un hash calculado a partir del nombre de la función De esta manera, Win32/Georbot esconde las funciones del API que está hashedCall() carga la librería, calculando el hash para cada función exportada y utilizando porque el binario solo incluye los hashes. Al generar una tabla de devolviendo un puntero donde se localiza la correspondiente función API. hashes de todas las funciones exportadas de los nombres de las DLL encontradas en el binario (después de descifrar la información), hemos podido identificar las llamadas.
  • 5. Win32/Georbot Ofuscación del flujo Para engañar a los análisis estáticos, Win32/Georbot ofusca también la Estos dos controles de ofuscación del flujo se utilizan a veces a la vez. Aquí secuencia de instrucciones. Coloca instrucciones de retorno en el medio de las encontramos la sentencia push;retn entrelazada con un corto jmp. funciones. Los compiladores utilizan esta instrucción solo al final de la función, por lo tanto, la mayoría de los desensambladores estáticos pensarán que es el final de la función en la sentencia retn. La instrucción retn coge la dirección de la pila y la sitúa en el EIP. Win32/Georbot realiza esta acción para ofuscar las instrucciones jmp. Otra técnica utilizada por Win32/Georbot es la ofuscación de las instrucciones de llamada. Una instrucción de llamada hace dos cosas: fuerza el paso a la siguiente instrucción en la pila y entonces salta a la dirección suministrada. El malware realiza frecuentes llamadas con dos instrucciones equivalentes en su lugar. Un compilador nunca lo haría. Por ejemplo: La siguiente imagen muestra el efecto de arreglar el control de flujo convirtiendo las secuencias de instrucciones a su homólogo original. es equivalente a:
  • 6. Win32/Georbot Automatizando el descifrado de estas tres técnicas es mucho más fácil entender Historial de versiones el comportamiento del malware: Este bot reporta su número de versión al servidor C&C cuando se conecta a él, lo que nos ha ayudado a reconstruir la historia del malware. La siguiente lista muestra el historial de versiones que nos ha permitido averiguar cuándo ha sido lanzado cada ejemplar. Septiembre 2010 Sin número de versión Febrero 2011 2.4.1 Abril 2011 3.3 Julio 2011 4.1 Enero 2012 5.2, 5.3, 5.4 Febrero 2012 5.5
  • 7. Win32/Georbot Comandos del bot En la última versión, el bot puede recibir hasta 19 comandos diferentes. La find [PATTERN] Busca nombres de ficheros que contengan el patrón técnica de ofuscación del API también se utiliza para los nombres de comando dir [FOLDER] Lista el directorio de una carpeta en el ejecutable, pero sorprendentemente los comandos son envíados en texto load [URL] Descarga el ejecutable específico y lo añade al autorun plano por el servidor C&C. Como no hemos visto todos los nombres de Upload [PATH] Sube el fichero específico al C&C comandos en las trazas de red, hemos obtenido el resto extrayendo los hashes upload_dir [FOLDER] Sube el contenido de una carpeta al C&C del ejecutable y utilizando la fuerza bruta con un diccionario. main Lista los directorios y los envía al C&C list [FOLDER] Lista los ficheros de una carpeta ddos [domain] Arranca un ataque DDoS contra un dominio scan Devuelve una lista de todos los nombres de dominios de una red local word [KEYWORDS] Busca documentos de Word que contengan una de las palabras clave system Envía las letras de las unidades de disco al C&C dump Envia el contenido de carpetas y subcarpetas al C&C photo Captura pantallazos del escritorio audio Captura audio del micrófono rdp Roba configuraciones RDP (.rdp) video Captura vídeo de una webcam passwords Roba passwords del navegador (Internet Explorer,Opera) history Roba el historial del navegador (Internet Explorer,Opera) screenshot Captura un pantallazo y lo envía al C&C.
  • 8. Win32/Georbot Comunicación con el centro de mando y control Protocolo de comunicación Win32/Georbot utiliza HTTP (HyperText Transfer Protocol) para comunicarse con su centro de mando y control (C&C). A lo largo del tiempo, algunos centros de control han sido utilizados en diferentes países, como en Alemania, República Checa y Estados Unidos. Para reportar al servidor central y pedir instrucciones, el En este ejemplo, el botmaster ordena al bot capturar un pantallazo y subirlo al bot utiliza una petición HTTP GET cada minuto con los siguientes parámetros: servidor central. ver la versión del bot Mecanismo de actualización cam averigua si el sistema infectado tiene una camara p un identificador del bot. Todas las variantes que hemos Win32/Georbot se conecta regularmente con su servidor central para buscar la última analizado utilizan la cadena “bot123” versión del ejecutable del bot. Estas conexiones también se realizan utilizando id Un identificador único usado para diferenciar entre bots. Se HTTP. El servidor devuelve un binario, coficiado en base64, embebido en una página forma a partir del número de serie del primer disco duro. HTML. Hemos identificado más de mil actualizaciones, las más antiguas de Septiembre de 2010. El bot se actualiza cada par de días, y algunas veces introduce Por ejemplo: nuevas funcionalidades, pero en la mayoría de los casos simplemente son mecanismos para evadir la detección antivirus. Mecanismos alternativos Después de recibir la consulta, el servidor central responde con contenido en Si un sistema infectado es incapaz de conectarse al servidor central, vuelve a lanzar HTML (HyperText Markup Language) como el siguiente: sus consultas pero a una página alojada en un dominio del Gobierno de Georgia. Ha sido precisamente este dominio alternativo lo que nos llamó la atención y el origen de la investigación.
  • 9. Win32/Georbot A partir de aquí, Georbot continúa con sus operaciones normales utilizando la dirección IP obtenida como servidor central. Figura 2: Mecanismo alternativo utilizado por Win32/Georbot En primer lugar, el malware intenta alcanzar el centro de control mediante el comando que contiene su binario. Si el centro de mando y control no responde, Georbot busca un documento alojado en el website del Gobierno de Georgia. Seguidamente, lleva a cabo un análisis buscando el marcador ‘||||’. Si está presente, este marcador oculta la dirección IP del centro de control o servidor central.
  • 10. Win32/Georbot Interfaz de control y hosts objetivo País Porcentaje de infecciones Hemos tenido acceso al panel de control de la botnet, que nos ha suministrado Georgia 70,45% información detallada de la operación y detalles de los motivos de los cibercriminales. El panel contiene unos doscientos hosts infectados. Estados Unidos 5,07% Alemania 3,88% Rusia 3,58% Canadá 1,49% Ucrania 1,49% Francia 1,19% Otros 12,83% El panel de control también contiene el historial de los comandos enviados a los bots. Mientras que la funcionalidad de grabación de vídeo vía webcam, la captura de pantallazos o lanzar ataques DDoS se ha usado un par de veces, la mayoría de los comandos eran para obtener listados de directorios, para realizar búsquedas y para Tabla 2: Panel de control de Georbot. descargar ficheros y analizar la red. Sobre todo, la información más interesante que hemos podido recopilar del panel ha sido la lista de palabras clave utilizada para De todos los hosts infectados, el 70% están localizados en Georgia, seguidos de buscar documentos. Las siguientes listas han sido utilizadas para encontrar Estados Unidos, Alemania y Rusia. El panel web también tiene una funcionalidad documentos que contenían al menos una de las palabras, sin dejar lugar a dudas que permite el marcado de host interesantes. Seis hosts habían sido marcados sobre la intención de los operadores de esta botnet. cuando accedimos al panel: tres en Georgia, uno en Rusia, uno en Suecia y otro más en China.
  • 11. Win32/Georbot Conclusión Las características de Win32/Georbot indica que ha sido creado para recopilar información de los ordenadores infectados. Esta amenaza tiene todas las capacidades necesarias para infectar y robar información. El hecho de que utilicen una dirección web de Georgia para actualizar sus comandos y la información de control, y que probablemente utiliza el mismo dominio para difundirse parece indicar que los ciudadanos de Georgia son su principal objetivo. Por otro lado, el nivel de sofisticación de esta amenaza es bajo. Pensamos que si esta operación hubiera sido promovida por un estado, hubiese sido más profesional y sigilosa. La hipótesis quizá más acertada es que Win32/Georbot ha sido creado por un grupo de cibercriminales que intentaban acceder a información sensible para Todos los documentos descargados habían sido borrados del servidor, por lo que venderla a otras organizaciones. Deben operar desde Georgia y han sido no podemos afirmar si la búsqueda fue exitosa o no. afortunados al conseguir controlar el dominio del gobierno, utilizándolo como parte de su operación. El desarrollo de este malware continúa: hemos encontrado nuevas variantes distribuyéndose. La más reciente, del 8 de marzo. Así que seguimos investigando.
  • 12. Win32/Georbot Anexo: hashes MD5 analizados Para otros investigadores interesados en investigar este malware, esta es la lista de hashes de ficheros que hemos visto en la familia de malware Win32/Georbot. Están listados en orden cronológico.