Muchos habeis comentado en la anotación ‘Downgrader PSP 2.0 a 1.50 – HOW TO – Pasos a seguir’ que al descargar el archivo overflow.tif aparece un mensaje del Antivirus diciendo que contiene un virus ( PSP/Brick.A ).
El Virus existe, pero no está en overflow.tif, vamos a poner un poco de luz sobre el asunto, veamos información acerca del Troyano:
Nombre: Brick.A
Nombre NOD32: PSP/Brick.A
Tipo: Caballo de Troya
Alias: Brick.A, PSP/Brick.A, PSP/Brick.A-tr, PSP/Format.A, psp-brick-a, TR/PSP.Brick.A, Troj/PSPBrick-A, Trojan.PSP.Brick.a, Trojan.Psp.Brick.A, Trojan.PSP.Brick.A, Trojan.PSPBrick, Trojan/PSP.Brick.A
Fecha: 11/oct/05
Plataforma: Sony Playstation Station Portable (PSP)
Tamaño: 3,848 bytes (BIN); 2,254 bytes (RAR)
Caballo de Troya para la Sony Playstation Station Portable (PSP).
Cuando se ejecuta, muestra un mensaje que reclama hackear el firmware de la PSP 2.0.
El troyano elimina cuatro archivos críticos que hacen que el dispositivo quede inutilizable.
Se presenta como un exploit para la PSP, con el siguiente nombre:
EXPLOIT 2.0 PSP Team V1.RAR
El archivo RAR contiene los siguientes archivos:
H.BIN
PSPTEAM.NFO
/PSP/PHOTO/OVERFLOW.TIF
Las instrucciones en PSPTEAM.NFO (un archivo de texto), indican que el archivo H.BIN debe ser colocado en el directorio raíz del dispositivo USB, y el archivo OVERFLOW.TIF en la carpeta /PSP/PHOTO/.
Cuando el exploit se ejecuta, el troyano elimina los siguientes archivos del sistema:
flash6:/vsh/etc/index.dat
flash6:/kd/loadcore.prx
flash6:/kd/loadexec.prx
flash6:/kd/init.prx
Estos archivos son críticos para el reinicio de la Playstation.
Luego de ello, el troyano muestra el siguiente texto:
Your 2.0 is hacked please reboot
Thank you PSP Team the french team
FuCk yoshihiro and SonyxTeam Looser
Cuando el archivo OVERFLOW.TIF utiliza el exploit que provoca la ejecución de H.BIN, se muestra el siguiente mensaje:
PSP TEAM 2.0 Exploit Hack the 2.0 firmware
Thank’s to toc2rta for the 2.0 exploit 🙂
Como hemos visto un poco más arriba, el Virus encargado de eliminar los archivos críticos de sistema está compilado en el archivo H.BIN, el archivo overflow.tif simplemente se encarga de que sea posible ejecutarlo, al igual que nos sirve para ejecutar el Downgrader, aún así, como el archivo overflow.tif está contenido en el RAR es normal que los antivirus lo cataloguen como tal, siendo evidentemente un aviso falso.
Así tenemos que el overflow.tif permite ejecutar tanto el virus como el Downgrader, hay que tener cuidado a la hora de ejecutar homebrew ya que ‘nos podemos encontrar de todo’ pero el overflow.tif ( http://dide.bitacoras.com/img/overflow.tif ) que ha sido ofrecido en esta Bitácora está y ha estado exento de Virus siempre.
Si vuestro antivirus no os permite descargarlo, simplemente desactivar la protección a tiempo real del mismo y descargad el fichero overflow.tif. Recordad activar la proteccion del antivirus luego 😉
Espero que haya quedado un poco más claro el asunto, igualmente el hilo de comentarios está abierto para responder cualquier tipo de duda o cunsulta.