Les presentamos la solución al desafío número 16 de ESET Latinoamérica. El desafío consistía en identificar el regalo que venía con la aplicación, la cual había sido descargada de una red P2P. También se tenía que identificar a quién le pertenecía este regalo.
Para comenzar, se procede a descomprimir el archivo del desafío utilizando su respectivo password, para luego encontrar un ejecutable, que a simple vista por el ícono, parece el instalador de la plataforma Java.
La información que se tiene previamente de este archivo, es que fue descargado de una red P2P. Por eso, antes de ejecutarlo y ver qué es lo que hace, podemos mirar las propiedades del archivo para ver si encontramos algún dato que pueda revelar mayor información sobre éste:
En la imagen podemos observar la comparación de las propiedades del instalador original, descargado de la página de Java, con el del archivo del desafío. Es posible ver que la descripción en la solapa general es distinta, ya que el original dice “Java(TM) Platfom SE binary” y en el otro dice “Win32 Cabinet Self-Extractor”. Este tipo de archivo es utilizado para la distribución de paquetes de instalación en Windows. Otro detalle importante que se puede observar en el archivo original, es la firma digital provista por Sun Microsystems, la cual difiere del archivo del desafío.
Entonces, ya sabemos que el desafío se trata de un archivo modificado, y si éste se ejecuta, lo que va a realizar será la instalación de la última versión de Java. Lo que no se ve a simple vista, es que el instalador ejecuta otro archivo más. Para poder ver los archivos que contiene el instalador, vamos a usar el compresor de archivos 7-Zip para abrir el ejecutable.
Con el 7-Zip nos dirigimos a la carpeta donde descomprimimos el desafío, luego seleccionamos el archivo con el botón derecho y luego "Abrir dentro".
Dentro del desafío podemos encontrar el instalador de Java y un archivo ejecutable más llamado "regalo". Este es un autoextraíble generado de la misma manera que el instalador del desafío, anteriormente mostrado.
Dentro del ejecutable, nos encontramos con un archivo de texto que contiene la frase “La paciencia es amarga, pero su fruto es dulce”, la cual, si se realiza una búsqueda en la web, podemos saber que le pertenece a Jean Jacques Rousseau.
En esta oportunidad, la persona que respondió más rápido y de forma correcta al desafío fue Francisco Osornio, con el cual nos estaremos contactando por correo electrónico para que obtenga su premio, que es la licencia de nuestro prestigioso antivirus, ESET NOD32 Antivirus.
En breve estaremos publicando más desafíos, así que estén atentos que habrá más oportunidades. Gracias a todos por participar y… ¡felicitaciones al ganador!
Claudio Cortés Cid
Especialista de Awareness & Research