Análisis

Crea los archivos:

» C:\Users\W7_MMD\Desktop\pk
» C:\Users\W7_MMD\Desktop\هام جدا.txt - (Very important.txt)

Crea las siguientes llaves de registro

» HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PokemonGo
» HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Hack3r

Contiene un icono asociado a PokemonGo con la siguiente descripción:

El troyano comienza su ejecución creando un password de 15 bytes de longitud a través de la función estándar CreatePassword, sin embargo no genera un valor aleatorio de texto si no retorna la cadena: 123vivalalgerie la cual será utilizada para cifrar los archivos.

Una vez creado el password hace uso de la función addUser la cual como su nombre lo indica le permite crea la cuenta de usuario "Hack3r" con permisos de administración sobre la maquina:

Posteriormente hace uso de las siguientes funciones:

» KillAV: Función encargada de buscar y terminar el proceso con nombre: SMΔRTP.
» SendPassword: Función encargada de enviar la contraseña al servidor C&C (los dos ejemplares poseían la dirección IP: http://10.25.0.169/PokemonGo/write.php por lo que pueden tratarse de versiones de prueba) y crear el archivo pk.
» Populate: Función encargada de crear una copia del troyano en todas las unidades de disco existentes en el sistema, si identifica que alguna de ellas es extraíble procede con la creación del archivo Autorun.inf con el contenido necesario para que este sea ejecutado una vez la unidad sea insertada en un nuevo equipo.

[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe

» encryptDirectory y EncryptFile: Funciones encargadas de definir los diferentes tipos de archivo objetivo y cifrar su contenido a través del hash SHA256 del texto definido como password, al finalizar adhiere la extensión .locked a cada uno de ellos:

*.txt, *.rtf, *.doc, *.pdf, *.mht, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.odt, *.jpg, *.png, *.csv, *.sql, *.mdb, *.sln, *.php, *.asp, *.aspx, *.html, *.xml, *.psd, *.htm, *.gif, *.png

» encryptHDD: Función encargada escanear todas las unidades de disco del sistema y cifrar el contenido de los archivos objetivo ubicados en cada una de ellas.
» messageCreator: Función encargada de crear el archivo هام جدا.txt con el contenido que le informara al usuario de las modificaciones sufridas:

(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا


I've been to encrypt your files, decoding Falaksa Mobilis following address me.blackhat20152015@mt2015.com and thank you in advance for your generosity


» Registre: Función encargada de crear la llave de registro en el Run con el fin de que el programa se ejecute en cada inicio del sistema.
» CreateShare: Aunque esta función no es llamada por el método principal, tiene como objetivo habilitar y compartir la carpeta o directorio especificado, esto con el objetivo de que otras personas puedan descargar el troyano a través de una red LAN.

Descarga