Keylogger del pasado

Almanaque regreso al futuroEn el anuncio de “Neutrex”, viene una chica del futuro, y lo único que nos trae es detergente. ¡Menudo viaje estúpido! ¡Prefiero mil veces que me traigan el almanaque de regreso al futuro!

Haciendo limpieza de los correos, determinando cosas que podía borrar, otras que quería guardar. Encontré uno, cuyo remitente era para mi desconocido, tenía el título: “Respecto a la web. Detalles de flash”. Y el adjunto: “Porfolio.rar”. Recibido ni más ni menos que en ¡2005! -¡Por el culo te la hinco!

No voy a presumir aquí de tío inteligente, ya que una vez descomprimido, quedaba el siguiente: “Porfolio.exe”. Alguien con conocimientos de seguridad informática, estudios, y muy atractivo cuando recibe algo por el estilo, lo pasa por virustotal, y en caso de duda, directamente al sandbox. Que para algo está, ¿no?

El entorno dispuesto, sandboxie actualizado, máquinas virtuales para estos menesteres, sin conexión a la red o con tráfico filtrado. En esas estábamos … Pues yo hice dobleclick, en el equipo que utilizo normalmente. Y claro el proceso de infección de un virus de 2005, dio comienzo. La cara de imbécil que se le queda a uno, no os podéis hacer una idea.

Tocaba hacer limpieza del equipo,  copiar el fichero a la máquina de análisis, y empezar un proceso de reversing, tenía que saber qué era, y que hacía. (Aquí comenzaron los sudores frios, golpes contra la pared, y creí oportuno colgarme el cartel “No debo ejecutar lo que no conozco”, en el cuello.)

Con tan hermoso cartel, diseñado en bonitos y llamativos colores, procedí con el análisis.

Peid nos indica:

Está comprimido con UPX, hay suerte ya que es una protección relativamente simple de saltar, y así poder ver lo siguiente:

Si reviso las strings del programa (cadenas de texto que contiene), se puede ver, con cierta seguridad que se trata de un keylogger, o capturador de teclas. ¡Alguien allá en 2005 quería mis contraseñas!

Un poco más abajo, existe otra cadena, que permite la identificación del programa, hay suerte ya que se utiliza uno público, y puedo determinar el nombre “IKLogger“. Para poder bajar una copia –si la encuentro-, y seguir intimando con nuestro desafortunado invitado.

No tiene demasiadas opciones, y quitarlo con autoruns de sysinternals, hace todo el trabajo, si bien en Windows 7, no ha sido capaz de llegar a utilizar los sistemas de persistencia. (Por otra parte, menos mal!). Sólo quedaba quitarme la espina de saber a que persona había enfadado tanto, allá por 2005.
IKLogger Traceando el código,  localizo una zona en la que carga los datos, del ftp, usuario y contraseña en los que guardará la información. Realmente guarda en un recurso del ejecutable toda la información relativa al mismo, eso sí. Con un sistema de “cifrado”.

Aquí he dejado de seguir analizando, para intentar conectarme al ftp. Siendo un poco iluso, tenía esperanza de que siguiera activo… Pero los años pasan para todos, y ya no existía  Así que me he quedado con las ganas… ¿Quizá para la siguiente infección?

WiNSoCk

También te podría gustar...