- English
- Español
Command and Control (C&C) de ZeuS alojado en dominio MX
El Equipo de Respuesta a Incidentes de Seguridad en Cómputo de la UNAM recibió un reporte sobre un archivo ejecutable supuestamente malicioso que se alojaba en un sitio web legítimo.
La muestra descargada tenía el nombre bot.exe. Dicho nombre inmediatamente levanta algunas sospechas, por ejemplo, que se tratase de un bot, el cual es un software malicioso que permite a un atacante tomar el control del equipo infectado haciendo que cumpla las órdenes del Centro de Comando y Control. Además de que "bot.exe" es el nombre del archivo ejecutable que genera de manera predeterminada el Toolkit de ZeuS.
Se ejecutó varias veces la muestra bot.exe y cada vez se levantó un proceso con un nombre diferente. Tras un par de segundos el archivo ejecutable se borra a sí mismo.
Los archivos que se generan en los directorios, creados anteriormente, son archivos con extensión bdx, que hacen referencia a las carpetas y archivos de la estructura predeterminada de Outlook Express, como se muestra a continuación:
Dentro de la carpeta que es generada con un nombre aleatorio en la ruta C:\Documents and Settings\Administrador\Datos de programa\ se crea un archivo exe, que es el que ejecuta el proceso bot.exe. Cabe destacar que estos archivos ejecutables también varían en su firma md5 en cada ejecución del malware bot.exe.
Durante el análisis, se pudo identificar que los archivos ejecutables generados por el bot llevan a cabo los siguientes cambios en el registro:
Para cuando se realizó el análisis de la muestra, el dominio mx que intentaba resolver la bot ya se había dado de baja, por lo que todas las máquinas infectadas con este malware ya no obtendrían ordenes del C&C al que se debían reportar.
Consultando el servicio VirusTotal se tiene que 38 de 43 soluciones antivirus detectan este malware. El reporte a continuación: