MBRlock |
General
El MBRlock es un troyano que bloquea completamente la ejecución del sistema operativo y por lo tanto la ejecución de cualquier tipo de software. Este malware detecta la partición de boot e infecta el MBR (Master Boot Record) que está localizado en el primer sector del disco duro y es el encargado de decirle a la maquina como cargar el sistema operativo y como esta particionado el disco.
Al ejecutar el archivo malicioso se cierran todos los programas en ejecución y se reinicia la maquina, a continuación aparece una ventana bloqueando la ejecución del S.O. y solicitando un código para desbloqueo. Así mismo los archivos sys3.exe y systm.txt son creados en la carpeta Configuracion Local\Temp de Windows
MD5: 70108103a53123201ceb2e921fcfe83c
SHA1: c71799a6a6d09ee758b04cdf90a4ab76fbd2a7e3
SHA256: 9c3f8df80193c085912c9950c58051ae77c321975784cc069ceacd4f57d5861d
ssdeep: 1536:3VrdxBvcGdDHHtWv8udA1JYREgJ/qEOpsChnU4V1lyqHv4vAmOG9HSDKRppppp5B:1H5D0dSgo7ppTV1lyqPOAmOG9HSOD
Nombre: PowerPoint.exe
Tamaño: 136.0 KB ( 139264 bytes )
Tipo: Win32 EXE
Arquitectura de maquina: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows GUI
SubsystemVersion: 4.0
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
IMPORTS:
ADVAPI32.dll: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken
SHELL32.dll: ShellExecuteA
CRTDLL.dll: sprintf
USER32.dll: ExitWindowsEx
KERNEL32.dll: CreateProcessA, GlobalAddAtomA, GlobalFindAtomA, GetVersion, GetTempPathA, GetTickCount, ExitProcess, GetModuleFileNameA, CopyFileA, Sleep, CloseHandle, GetModuleHandleA, GetCurrentProcess, CreateFileA, ReadFile, SetFilePointer, WriteFile, GetFileSize, GlobalAlloc, DeleteFileA
Deteccion:
33/41 (VirusTotal)
Fecha del analisis: 07-03-2012
Alias:
| Antivirus | Result |
|---|
| Avast | Win32:MBRlock-B |
| AVG | unknown virus Win32/DH.FF8203BF{00007000-00000000-00000000} |
| BitDefender | Gen:Trojan.Heur.FU.imW@aCyKfA |
| McAfee | Ransom!eh |
| Microsoft | Trojan:Win32/Ransom.DV |
| NOD32 | a variant of Win32/MBRlock.C |
| Panda | Suspicious file |
| TrendMicro | TROJ_GEN.R3EC2IE |
|
Esta es la ventana que aparece cuando se está reiniciando la maquina y la que requiere del código de desbloqueo.
|
|
Al realizar un análisis estático al archivo .exe se pueden visualizar los Strings de creación para los archivos sys3.exe, systm.txt así como algunas dlls de Windows usadas por el troyano.
|
|
|
|
| | | | |
