Command and Control (C&C) de ZeuS alojado en dominio MX

El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM recibió un reporte sobre un archivo ejecutable supuestamente malicioso que se alojaba en un sitio web legítimo.

 

 

La muestra descargada tenía el nombre bot.exe. Dicho nombre inmediatamente levanta algunas sospechas, por ejemplo, que se tratase de un bot, el cual es un software malicioso que permite a un atacante tomar el control del equipo infectado haciendo que cumpla las órdenes del Centro de Comando y Control. Además de que "bot.exe" es el nombre del archivo ejecutable que genera de manera predeterminada el Toolkit de ZeuS.

 
ZeuS es una de las botnets más conocidas, por las diversas funcionalidades que ofrece, como la recolección de información que introduce la víctima en los sitios web que visita, capturas de pantalla del escritorio, webinjects, phishing que principalmente va dirigido a entidades bancarias, etc.
 
Las firmas del archivo ejecutable son las siguientes:
 

 

Se ejecutó varias veces la muestra bot.exe y cada vez se levantó un proceso con un nombre diferente. Tras un par de segundos el archivo ejecutable se borra a sí mismo.

 

En cuanto a la actividad en el Sistema de Archivos, el malware intenta acceder a los correos electrónicos de Outlook Express, que al no estar activado en un equipo infectado,  provoca la creación del árbol de directorios del cliente de correo en la ruta: C:\Documents and Settings\Administrador\Configuración local\Datos de programa\
 
El malware también crea dos carpetas con nombres aleatorios en la ruta: C:\Documents and Settings\Administrador\Datos de programa\.
 

 

Los archivos que se generan en los directorios, creados anteriormente, son archivos con extensión bdx, que hacen referencia a las carpetas y archivos de la estructura predeterminada de Outlook Express, como se muestra a continuación:

 

 

 

 

Dentro de la carpeta que es generada con un nombre aleatorio en la ruta C:\Documents and Settings\Administrador\Datos de programa\ se crea un archivo exe, que es el que ejecuta el proceso bot.exe. Cabe destacar que estos archivos ejecutables también varían en su firma md5 en cada ejecución del malware bot.exe.

 

 

 

Durante el análisis, se pudo identificar que los archivos ejecutables generados por el bot llevan a cabo los siguientes cambios en el registro:

 

 

Para cuando se realizó el análisis de la muestra, el dominio mx que intentaba resolver la bot ya se había dado de baja, por lo que todas las máquinas infectadas con este malware ya no obtendrían ordenes del C&C al que se debían reportar.

 

 

Consultando el servicio VirusTotal se tiene que 38 de 43 soluciones antivirus detectan este malware. El reporte a continuación:

 

Enviado por jbanfi el Vie, 12/14/2012 - 11:19