Analizando un malware

 

Ha pasado tiempo desde el último post, pero no me he olvidado de ustedes. Si habías seguido el último post donde hacía un megapost de análisis de malware, parece que habíamos llegado a un callejón sin salida. Mi sensación es que nos falta información y no tenemos el "ejemplar" completo.

Por lo que vamos a intentarlo de nuevo con un "bicho" que me han pasado hoy.

En este caso te llega un email con una foto pequeñita, en la que parece que hay chicas de fiesta. ¿Y vos qué haces? Hacés click para "ampliar la foto" (¿quién no lo haría?). El problema es que la foto en realidad es un enlace a una página web, alojada en Argentina, que te descarga un ejecutable.

Este ejecutable, llamémosle "Foto28_.com", es más sospechoso que un norcoreano haciendo fotos en Almaraz.

El informe de VirusTotal nos da a entender que es algún tipo de "downloader" (es decir, este "bicho" tiene la función de descargar otros "bichos") y que está empaquetado con PECompact2.

El informe de Anubis nos da muchas pistas, que podemos corroborar ejecutando el programa en un sandbox (Windows XP corriendo en VMWare Workstation 7).

Efectivamente, lo primero que hace el ejecutable es conectarse a varias URLs.

La primera, desde Rusia con amor, parece fallar con un error 301. El dominio corresponde a un ISP ruso, que parece tener un historial de albergar páginas maliciosas.

El resto son descargas de ficheros, que terminan en una carpeta C:\CMOS\ con los siguientes nombres:

Los ficheros XLR.EXE y XLR2.EXE son idénticos, lo cual se corresponde con sólo las 3 descargas de ficheros realizadas. El fichero ID es creado por uno de los procesos RunDLL32.exe que lanzan los CPL.

Además se crean las claves de registro necesarias (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) para lanzar los 4 ejecutables cada vez que arranque Windows.

Lo más sencillo aquí es coger cada uno de los ficheros descargados, y subirlos a VirusTotal.

Tenemos claro el comportamiento de nuestro espécimen. Un análisis más en detalle de sus "amigos" sería demasiado laborioso para incluirlo aquí, ya que estamos hablando de una "suite" de 3 troyanos dedicados al fraude bancario. Es interesante echarles un vistazo con el ResHacker y ver la cantidad de scripts en JavaScript y páginas HTML embebidas en los ejecutables, con el objeto de tomar el control del navegador web del usuario y sustituir sus visitas a la banca online por páginas maliciosas que capturan contraseñas, etc.

Información extraída de:

http://www.areino.com/malware-analysis-5/

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

HTTP Fingerprinting