Penetrador (malware)

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 16 de mayo de 2015; las comprobaciones requieren 25 ediciones .

Penetrador , o "Penetrador"
Nombre completo (Kaspersky)	Trojan-Downloader.Win32.VB.bnp
Tipo de	troyano
Año de aparición	2007
Software utilizado	EXE , de arranque
Descripción de Symantec

Penetrator (del inglés penetrar - "introducir") es un programa troyano creado por el estudiante ruso Dmitry Uvarov [1] . El troyano estaba escrito en Visual Basic y estaba destinado a los sistemas operativos Windows con un procesador x86 . Se inyecta en el sistema operativo y realiza acciones destructivas en .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls, .zip la noche del primero de enero [2] .

Antecedentes

Se desconoce la fecha exacta de aparición del troyano. Se supone que apareció en marzo de 2007 . Los primeros informes de malware comenzaron a aparecer en otoño [2] . Al mismo tiempo, apareció una leyenda de que el programador ruso decidió vengarse de la chica que lo rechazó, y junto con todo el mundo digital [3] .

La primera ola de la epidemia troyana se produjo el 1 de enero de 2008 . No solo se infectaron las computadoras personales, sino también las redes empresariales y las agencias gubernamentales. Varios miles de computadoras en la región de Amur resultaron dañadas . La segunda ola ocurrió el 1 de enero de 2009 . Este troyano fue encontrado en los ordenadores de la inspección regional de impuestos y de la fiscalía [4] .

El 18 de enero de 2008, un joven de veinte años fue detenido en Kaliningrado, acusado de crear este programa [4] . Dmitry Uvarov admitió plenamente su culpabilidad, ayudó en la investigación y, como resultado, fue condenado a una multa de 3000 rublos [1] .

Características

El troyano se distribuye utilizando el archivo flash.scr (117248 bytes, creado el 04/08/2003 9:00:00 a.m.), disfrazándose así como un programa de salvapantallas . También ha habido casos aislados en los que se disfrazó como un archivo mp3 .

Cuando se lanza el archivo ejecutable, el troyano se introduce en la carpeta "\Documents and Settings\All Users\Documents\" , por el archivo Documents.scr , para el sistema operativo Windows XP , luego de ser introducido en la RAM y en el sección de inicio. La infección de archivos comienza solo el 1 de enero.

El 1 de enero se activa el troyano:

en la carpeta \WINDOWS\system32\ crea una carpeta DETER177 ;
en la carpeta \WINDOWS\system32\DETER177\ crea un archivo oculto lsass.exe (117248 bytes; a diferencia del lsass.exe real ubicado en la carpeta \WINDOWS\system32 );
en la carpeta \WINDOWS\system32\DETER177\ crea un archivo smss.exe oculto (117248 bytes; a diferencia del smss.exe real ubicado en la carpeta \WINDOWS\system32 );
en la carpeta \WINDOWS\system32\DETER177\ crea un archivo oculto svchost.exe (117248 bytes; las letras "c" y "o" son cirílicas, a diferencia del verdadero svchost.exe );
en la carpeta \WINDOWS\system32\ crea un archivo oculto AHTOMSYS19.exe (117248 bytes);
en la carpeta \WINDOWS\system32\ crea un archivo oculto ctfmon.exe (117248 bytes; las letras "c" y "o" son cirílicas, a diferencia del verdadero ctfmon.exe);
en la carpeta \WINDOWS\system32\ crea un archivo oculto psador18.dll (32 bytes);
en la carpeta \WINDOWS\system32\ crea un archivo oculto psagor18.sys (117248 bytes);
los archivos АHTOMSYS19.exe , \WINDOWS\system32\DETER177\lsass.exe y \WINDOWS\system32\stfmon.exe se cargan automáticamente y están constantemente presentes en la RAM ;
la acción destructiva del troyano se dirige a .avi, .doc, .jpg, .jpeg, .mp3, .mpeg, .mpg, .pdf, .ppt, .rar, .vob, .wma, .wmv, .xls , archivos .zip ;

todos los archivos .jpg (.jpg, .jpeg) se reemplazan por una imagen bmp debajo del caparazón .jpg con un tamaño de 69x15 píxeles, 3174 bytes con una inscripción estilizada Penetrator . Los archivos .bmp, .png, .tiff no son tocados por el troyano;
el contenido de los archivos .doc y .xls se reemplaza con un mensaje de texto obsceno (el tamaño de estos archivos se convierte en 196 bytes, según el volumen del mensaje de texto);
el troyano crea una carpeta de grabación con archivos CDburn.exe y autorun.inf (ubicación de la carpeta: Windows XP - \Documents and Settings\<Username>\Local Settings\Application Data\Microsoft\Windows ; Windows Vista y Windows 7 - \Users\ Maestro\AppData\Local\Microsoft\Windows\Burn );
en cada carpeta (incluidas las subcarpetas) del disco en el que se inició el archivo flash.scr, el troyano crea sus copias de <nombre_carpeta>.scr (117248 bytes); después de eso, el archivo flash.scr en este disco (que ya ha infectado), por regla general, se autodestruye, dejando un archivo troyano oculto (sin nombre) con la extensión .scr en los directorios raíz de los discos;
al abrir/conectar unidades locales/extraíbles, el troyano se copia en medios no infectados;
realiza una llamada oculta a las siguientes bibliotecas dll del sistema: ntdll.dll, kernel32.dll, MSVBVM60.DLL, USER32.dll, GDI32.dll, ADVAPI32.dll, RPCRT4.dll, ole32.dll, OLEAUT32.dll, MSVCRT. DLL .

El troyano está disfrazado en el sistema de la siguiente manera:

Oculta la visualización de "archivos y carpetas ocultos"
Oculta la visualización de las extensiones de archivo.
Hace que el elemento del menú "Opciones de carpeta" no esté disponible
Impide que se inicie el 'editor de registro'
Bloquea la instalación de antivirus
Bloquea la ejecución de las utilidades de configuración del sistema
Ajusta las claves de registro para que el archivo flash.scr parezca una carpeta normal

Reconocimiento de troyanos por antivirus

Diferentes antivirus lo reconocen de manera diferente:

Avira AntiVir - TR/Dldr.VB.bnp;
Avast -Win32:Trojan-gen;
AVG -Downloader.VB.AIM;
BitDefender - Trojan.Downloader.VB.VKV;
ClamAV - Trojan.Downloader-15571;
DrWeb- Win32.HLLW.Kati;
Eset NOD32 - Gusano Win32/VB.NNJ;
Antivirus F-Secure - Trojan-Downloader.Win32.VB.bnp;
Kaspersky Antivirus - Trojan-Downloader.Win32.VB.bnp;
McAfee -Downloader.gen.a
Panda Security - W32/Penetrator.A.gusano;
VBA32 - Trojan-Downloader.Win32.VB.bnp.

Notas

↑ 1 2 El autor del virus "Penetrator" escapó con una multa . Consultado el 28 de noviembre de 2012. Archivado desde el original el 13 de noviembre de 2014. (indefinido)
↑ 1 2 ¿Cómo destruir el virus Penetrator? (enlace no disponible)
↑ ¿Cómo lidiar con el virus Penetrator? . Fecha de acceso: 28 de noviembre de 2012. Archivado desde el original el 22 de agosto de 2012. (indefinido)
↑ 1 2 El autor del virus Amur fue capturado en Kaliningrado . Consultado el 28 de noviembre de 2012. Archivado desde el original el 2 de octubre de 2011. (indefinido)

Enlaces

Ataques de hackers de la década de 2000
Los ataques más grandes	Operación Bot Asado Operación Octubre Rojo Proyecto "Chanología" lluvia de titanio
Grupos y comunidades de hackers	Anónimo Unidad 61398 (PLA)
piratas informáticos solitarios	Dmitri Sklyarov
Vulnerabilidades críticas detectadas	Ataque de fragmentación
Virus informáticos	Agente.BTZ Anna Kournikova Asprox Puerta trasera.Win32.Sinoval bagel blaster Bredolab cabir Cuidar a código Rojo Código rojo II comguerrero Conficker corte donbot fiesta burbujeante TE QUIERO Klez Cara de Koob kraken mariposa mega d Metuljí Mocmex mi destino mitob Neshta netsky NetTraveler Nimda penetrador Pellizco Hiedra venenosa virus RFID rustock Salidad santo Sasser sobrio Tan grande ojo espía Lanzamiento de SQL Srizby Gusano de tormenta Torpig Virtud vulcanobot Waledac Acceso cero Zeus zobot
Década de 1990 • Década de 2000 • Década de 2010