Troyanizando cuentas de Rapidshare

RapidShare Premium Accounts Generator es el nombre del programa que promete generar cuentas Premium de Rapidshare de forma gratuita. ESET NOD32 detecta y bloquea esta amenaza bajo el nombre de Win32/TrojanDropper.Agent.NFH.

Rapidshare es un sitio web que nos brinda un disco virtual con una determinada capacidad de almacenamiento que nos permite guardar cualquier tipo de archivos.

Procesos del malware

Los usuarios que hagan doble clic sobre este archivo, cuyo peso es de 2.626 KB, en realidad estarán ejecutando un troyano del tipo drooper que ni bien es ejecutado comenzará a correr en el sistema como un proceso bajo el nombre “7390057” e intentará descargar a nuestra computadora todo tipo de malware.

Recuerden que los troyanos de este tipo tienen la capacidad de descargar en nuestro sistema otros códigos maliciosos.

Cuando se ejecuta, despliega una aplicación que, tras una serie de pasos, nos permite generar las cuentas falsas de Rapidshare, copiando y ejecutando en forma paralela y completamente silenciosa los siguientes archivos: “7390057.exe” que pesa 176 KB y está compilado con Microsoft Visual Basic en su versión 6.0, y el archivo “9963952.exe” de 1.169 KB de peso. Ambos archivos se guardan en la carpeta temporal de Windows.

Generación de falsas cuentas y copia del malware al sistema

El troyano que descarga y ejecuta en forma totalmente transparente para el usuario es detectado por ESET NOD32 bajo el nombre de Win32/Spy.Elife.F. Este troyano posee características de rootkit por lo que su proceso es difícil de detectar, ya que lo oculta en el sistema inyectando su código malicioso en el navegador web Internet Explorer.

En la siguiente imagen se observa que a pesar de no haber ejecutado el IE ni tenerlo abierto, obtenemos un proceso correspondiente con él.

Rootkit

El rootkit se esconde en la dirección “C.WINDOWS” generando los siguientes archivos:
system32XXX.exe detectado como una variante del Keylogger Win32/KeyLogger.Ardamax, (donde XXX son caracteres aleatorios).

Aunque sus acciones son totalmente transparentes para el usuario, ESET NOD32 lo detecta y bloquea su accionar. La siguiente captura nos muestra el rootkit y su condición de “hidden” (oculto) en la computadora comprometida.

Proceso del malware oculto

Por otro lado, a simple vista no se observa ninguna modificación en el registro del sistema. En cambio si arrancamos la computadora en modo a prueba de fallos, podremos observar que en la clave “run” del registro del sistema aparece el archivo “system32PNVS.exe”.

Las acciones llevadas a cabo por los rootkits suelen ser de este tipo, es decir, ocultar sus acciones bajo procesos válidos del sistema. De esta manera, el usuario no sospecha de su existencia.

Jorge

Autor , ESET

  • tonylion

    muy valiosa informacion gracias a veces hacemos cosas que no sabemos lo que hacemos muy buen aporte gracias

  • hugo

    muchas gracias

  • xAKUx

    En otas palabras se puede usar o no el dichoso generador???

  • Estimado,
    el generador esta troyanizado, es decir, al ejecutarlo se disparará en segundo plano el troyano infectando tu PC.

    Saludos.

  • mark

    Ya sabemos que tiene un troyano…

    Pero, si realmente te da cuentas Rapidshare vale la pena abrirlo!

    Por eso, comparto la duda con xAKUx si se puede usar para generar cuentas Rapidshare.

    La respuesta de Jorge Mieres no aclara este punto, por eso lo destaco.

  • Hola Mark, cualquier tipo de programa puede ser utilizado por cualquier persona, la decisión siempre recae en cada uno de nosotros.

    Sin embargo, es precisamente esta decisión lo que hace la diferencia entre un equipo infectado por negligencia o falta de información del usuario, con las graves consecuencias que eso implica en la actualidad, con otro que, teniendo en cuenta estas estrategias de infección, no ejecuta determinado programa malicioso.

    De todas formas, nada garantiza que las cuentas generadas con estos programas funcionen, por un lado, es ilegal, y por el otro, puede ser un método utilizado por el atacante para infectar tu PC.

    Desde ESET, nos sentimos en la obligación de informar estos métodos, que de hecho, siempre aparece algo nuevo. Pero ten en cuenta que, si ejecutas malware por decisión propia, ningún antivirus podrá asegurarte un nivel adecuado de seguridad.

    Te mando un cordial saludo y gracias por el valioso comentario.

    Jorge

  • juanito12

    va yo ya me arte de tantas paginas malas en las que no ai nada de verdad… resbuscando en la mierda encontre esta pagina… los tontos daban tres cuentas rapidshare ….http://www.[ELIMINADO].com/tutoriales-pc-f36/cuenta-premium-rapidshare-t1575.htm#5603 lo bueno es que sirven las tres por lo visto las an comprado kon ayuda de la gente del foroy las an puesto al publiko para k puedan kompartirlas …

Síguenos