ESET Latinoamérica – Laboratorio
« Propagación de malware vía correos legítimos (III)
La competencia: Hello Kitty »

Desofuscando un TrojanClicker

Julio 21, 2008 10:59 am

Un Troyano Clicker es aquel que permite realizar clic en sitios de publicidad para que el creador de la misma obtenga un beneficio de cada clic realizado.

Por supuesto esta acción se realiza sin el conocimiento ni consentimiento del usuario y su implementación puede llevarse a cabo de distintas maneras:

  • el usuario se infecta con un troyano (archivo ejecutable) y el mismo se encarga de realizar una conexión a sitios específicos cada cierto tiempo;
  • el usuario visualiza una página web conteniendo un script oculto que hace el llamado a la página de publicidad;
  • el usuario recibe un correo (o un mensaje por un mensajero) con una dirección web y al ingresar se cumple el caso anterior;
  • el usuario recibe un correo con un archivo HTML adjunto. Al abrirlo se cumplen los casos anteriores.

Este último caso es el que paso a analizar a continuación, en donde se recibe un archivo HTML con supuestos detalles de un tema en particular:

Correo

Al descargar el archivo adjunto y analizarlo se puede ver el siguiente código Javascript ofuscado, al parecer con comandos inentendibles:

Codigo ofuscado

Aunque ese código parezca algo complejo, puede desofuscarse para comprender que se intenta hacer con el resultado:

Codigo desofuscado

En la primera función del mismo se tiene una rutina de “descifrado” (muy sencilla) y en las siguientes líneas se llama a esa rutina para desofuscar el código que realmente se ejecuta en el explorador del usuario, al abrir el archivo.

Como puede verse, al final se crean dos frames invocando a un sitio money[eliminado].com en el cual se aloja la publicidad de la cual es objeto esta amenaza.

La ofuscación en general, si bien puede parecer compleja, muchas veces no es más que el cambio de un caracter por otro o la utilización de rutinas sencillas para que el usuario no comprenda lo que está viendo. Si se dedica cierto tiempo no se tarda en entender las rutinas y sus objetivos.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame



Categorias: Malware
2 Comentarios »

2 Comentarios en “Desofuscando un TrojanClicker”

  1. marcela dijo:
    20-8-2009 a las 12:45 pm

    CUANTO CEREBRO DESPERDICIADO…………………..

  2. Desofuscando un TrojanClicker | Info Spyware dijo:
    21-7-2008 a las 12:10 pm

    [...] FUENTE Gracias por leer este post.Ahora puede dejar su Comentario (0) o enlazarnos. [...]

Comentarios
Contáctenos | Política de Privacidad | Noticias Legales Copyright © 1992-2009 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.