instituto

internacional de
seguridad
ciberntica
Troyano Bookworm

soluciones de seguridad informtica, informtica forense, Curso de

seguridad en redes

Qu es troyano Bookworm
Troyano Bookworm es radicalmente diferente de
PlugX RAT y tiene una arquitectura modular y
nica. Bookworm tiene poca funcionalidad
malicioso incorporado, con su nica habilidad
bsica que involucra el robo de las pulsaciones del
teclado y el contenido del clipboard. Sin embargo,
Bookworm ampla sus capacidades a travs de su
capacidad de cargar mdulos adicionales
directamente de desde su comando y control (C2)
servidor. Bookworm tiene muchas capas que
aumentan la complejidad de su arquitectura
general mencionan expertos de soluciones de
seguridad informtica .

El troyano Bookworm
Dicen expertos de soluciones de seguridad
informtica que el autor utiliza varios algoritmos no
slo para cifrar y descifrar archivos guardados en el
sistema, sino tambin para cifrar y descifrar
comunicaciones de red entre Bookworm y sus
servidores de C2. El troyano tiene un RAR autoextrable. El RAR autoextrable escribe un ejecutable
legtimo, un DLL creado llamada Loader.dll y un
archivo llamado readme.txt en el sistema y despus
ejecuta el ejecutable legtimo. Loader.dll descifra el
archivo de readme.txt utilizando un algoritmo XOR
de tres bytes con 0xd07858 como una clave, que se
traduce en cdigo shell que se encarga de
descifrar el resto del archivo readme.txt.

Cmo Funciona
El cdigo shell entonces carga el Bookworm
cargando manualmente otro DLL llamada
"Leader.dll" en el readme.txt descifrado y pasa
bfer para Leader.dll que contiene adicional DLLs.
Lder es el mdulo principal de Bookworm y
controla todas las actividades del troyano, pero
depende de los archivos dll adicionales para
proporcionar funcionalidades especficas. Para
cargar mdulos adicionales, lder analiza el bfer
pasado a l por el cdigo de shell en el archivo
readme.txt para los otros archivos dll explica
profesor de curso de seguridad en redes.

Cmo Funciona
Expertos de curso de seguridad en redes dicen que
los desarrolladores de Bookworm han incluido
nicamente funciones de keylogging en Bookworm
como una capacidad base. Los desarrolladores
han diseado Bookworm como un troyano
modular no se limita a solo la arquitectura inicial
del troyano, ya que bookworm puede cargar
mdulos adicionales proporcionados por el servidor
de C2. La capacidad de cargar mdulos
adicionales desde el C2 extiende las capacidades
del troyano para dar cabida a las actividades de
que los hackers se necesitan para llevar a cabo en
el sistema comprometido.

Cmo Funciona
Bookworm utiliza una mquina de estado para
realizar un seguimiento de y llevar a cabo las
comunicaciones entre el sistema comprometido y
el servidor C2. Los desarrolladores de Bookworm
han ido a las grandes longitudes para crear un
marco modular que es muy flexible por su
capacidad para ejecutar mdulos adicionales
directamente desde su servidor de C2. No slo es
esta herramienta altamente capaz, pero tambin
requiere un muy alto nivel de esfuerzo a analizar
debido a su arquitectura modular y el uso de
funciones de la API dentro de los mdulos
adicionales segn capitacin de anlisis
informtica forense .

CONTACTO

w w w. i i c y b e r s e c u r i t y. c o m

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845