Bot alojado en el servidor de descargas Hotfile

 

El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM, recibió el reporte sobre un archivo supuestamente malicioso, el cual se encontraba alojado en el conocido servicio de descargas "hotfile.com" con el nombre "firulais.exe". Por lo cual se procedió a realizar el análisis de dicha muestra.

 

 

 

El archivo binario se ejecutó en un entorno controlado sin salida a Internet, se inicia el proceso "firulais.exe" y muestra en la columna "CompanyName" de ProcessExplorer la cadena "RimellriRimellri". También, troyaniza el proceso "explorer.exe", el cual es el encargado de hacer las conexiones de red.

 

 

 

Si dentro de las herramientas de monitoreo se encuentra en ejecución el programa "ProcessMonitor", el malware forza el cierre de dicha herramienta con el fin de mantener ocultas sus acciones tanto en el Sistema de archivos como en el Registro de Windows.

 

 

 

En el tráfico de red, se muestran peticiones DNS para resolver los dominios "api.wipmania.com" y "moXXX2.net".

El dominio "api.wipmania.com", es un servicio gratuito de geolocalización que proporciona el país de la dirección IP que sea consultada.

 

 

 

En cuanto a las modificaciones en el Sistema de archivos, solo es el borrado de sí mismo.

 

 

 

A continuación se muestra la secuencia de dominios que intenta resolver el malware al asociar cada uno de ellos con otro equipo en la misma subred:

 

- Al resolver el dominio api.wipmania.com, solicita "moXXX2.net" y "moXXX3.net".

También es posible apreciar que al resolver el dominio api.wipmania.com, intenta conectarse al puerto 80, el cual está asociado al Servicio Web.

 

 

 

- Al resolver el dominio "moXXX2.net", solicita "api.wipmania.com".

También es posible apreciar que al resolver el dominio moXXX2.net, intenta conectarse al puerto 1887, el cual no está asociado a un servicio conocido.

 

 

 

- Al resolver el dominio "moXXX3.net", solicita "api.wipmania.com", "moXXX2.net" y "moXXX4.net".

También es posible apreciar que al resolver el dominio moXXX3.net, intenta conectarse al puerto 1887, el cual no está asociado a un servicio conocido.

 

 

 

- Al resolver el dominio "moXXX4.net", solicita "api.wipmania.com", "moXXX2.net" y "moXXX3.net".

También es posible apreciar que al resolver el dominio moXXX4.net, intenta conectarse al puerto 1887, el cual no está asociado a un servicio conocido.

 

 

 

En la siguiente imagen se muestra que los dominios maliciosos están asociados a dos direcciones IP.

 

 

 

A continuación se muestran los hallazgos obtenidos al proporcionarle al malware el puerto 80 y el puerto 1887 para los dominios "api.wipmania.com" y "moXXX2.net" respectivamente:

 

- Al habilitar el servicio web, en el tráfico de red se observa la petición GET a la página principal de "api.wipmania.com", por lo tanto, de consultarse el sitio web manualmente, es posible saber qué información requiere el malware.

 

 

 

 

Al consultar el sitio "api.wipmania.com" desde el navegador, arroja la dirección IP desde donde se está consultando la página y el identificador de país donde se localiza geográficamente.

A continuación se muestran dos capturas de pantalla, la primer consulta fue realizada desde un equipo personal y la segunda mediante un proxy, el API regresa los países México y Austria respectivamente:

 

 

 

- Al no ser conocido el servicio asociado al puerto 1887, lo conveniente es abrir el puerto con la herramienta Netcat. En el tráfico de red se observa la contraseña "speedd", la cual seguramente es para autenticarse en el servidor, también se muestra el nick "{ESP|XPa}mfcidge}" y finalmente el usuario "mfcidge".

 

 

 

Estos datos, son un indicio de que la pieza de malware pudiera tratarse de un bot, el cual al infectar el equipo de cómputo, provoque que forme parte de una red zombi.

 

 

 

Al dejar interactuar a la muestra con Internet, la primer conexión que realiza es la consulta al dominio "api.wipmania.com" y posteriormente al sitio que requiere los datos: contraseña, nick y usuario para autenticarse.

 

 

 

Después, se muestra una conexión al sitio web "hotfile", de donde realiza la descarga de otro código malicioso.

 

 

 

A continuación se muestra el programa en ejecución "2.exe", el cual fue descargado y ejecutado por el malware.

 

 

 

Los cambios en el Sistema de archivos fueron:

 

- Archivo ejecutable "2.exe" agregado a la ruta "C:\Documents and Settings\Administrador\Datos de programa"

- Eliminación a sí mismo de la ruta donde fue ejecutado, en nuestro caso, el Escritorio de Windows

 

 

 

A continuación se muestra el binario que descargó el malware:

 

 

 

El archivo descargado por el malware, realiza múltiples conexiones de red a diversos sitios web. En la siguiente imagen se muestran algunas conexiones establecidas, todas hacia el puerto 80:

 

 

 

En el tráfico de red capturado, al tener salida a Internet el malware "firulais.exe", se pudo comprobar que se trataba de un "bot". Las credenciales que utiliza para autenticarse en el C&C son:

 

- Contraseña: speedd

- Nick: n{MX|XPa}mfcidge }          El parámetro "MX" lo concatenó a partir de los datos obtenidos al consultar el servicio de                                                                "api.wipmania.com", esto con el fin de llevar un registro de equipos infectados por país

- Usuario: bqnmfsk

 

 

 

El "bot" es de tipo "PUSH", dicha clasificación se debe a que el bot espera de forma silenciosa los comandos del C&C y no consulta varias veces al servidor malicioso para saber si hay algo nuevo por realizar.

 

A continuación se muestran las instrucciones de descargar dos archivos ejecutables desde el servicio "hotfile". La descarga que corresponde al archivo "unthecahnces.exe" no fue satisfactoria, como se puede apreciar en uno de los mensajes privados, ya que al compararse las firmas md5 no fueron iguales. La descarga que sí fue satisfactoria, corresponde al binario "jhfmm.exe", que se realizó en la ruta "C:\Documents and Settings\Administrador\Datos de programa" y donde posteriormente fue renombrado como "2.exe".

 

 

 

A continuación se muestra que el segundo archivo descargado "jhfmm.exe", corresponde al archivo "2.exe":

 

 

 

En un análisis de cadenas al binario "firulais.exe", se obtuvieron los siguientes parámetros:

 

- Nombre de la compañía: RimellriRimellri

- Nombre del producto: CosmKticRimellri

- Nombre original del archivo: Rimellri.exe

 

 

 

La localización geográfica del C&C de acuerdo con tcpiputils.com es en Las Vegas, Nevada, Estados Unidos.

 

 

 

Consultando el servicio de VirusTotal, se tiene el registro de que 18 de 47 soluciones detectan el archivo "firulais.exe" como malicioso. A continuación el reporte:

 

 

Enviado por jbanfi el Vie, 07/26/2013 - 14:11