Nueva variante “troyano” como adjunto en correo electrónico

 

Se nos informó de un archivo posiblemente malicioso que llega como un adjunto en correo electrónico. Se envía así mismo como adjunto, requiere de interaccion del usuario para poder ejecutarse.

Se observó que la dirección origen del correo no existía,                             

El archivo adjunto utiliza el nombre  “Xerox_Workcentrer-6560.zip”.

Con MD5 - c737f840607e1a668db843cea82a043e

 

Al extraer el archivo, aparece con el icono de un documento de texto, este método es empleado para persuadir al usuario de abrirlo, tiene una extensión “.exe” (archivo ejecutable de Windows). El archivo llega con el nombre“Xerox_Document_N88389476.exe”.

Con MD5 - 1b97e4021dc75a8cd8854aa61984dd44

             

                  

Al ejecutar la muestra obtenida pudimos observar que el archivo “Xerox_Document_N88389476.exe” se había borrado y en su lugar se creó un archivo llamado “KB00395690.exe” en la ruta “C:\Documents and Settings\Administrador\Datos de programa”; el MD5 resultó ser el mismo que el archivo antes borrado. Esta técnica de replicación se usa para no  ser encontrado y como en este caso, poder ejecutarse nuevamente.

Dentro de los procesos que levanta el código malicioso están:

-          Replicación del archivo con un nombre aleatorio

-          Modificar llaves de registro, esencialmente “\Software\Microsoft\Windows\CurrentVersion\Run\KB00395690.exe”

-          Realiza conexiones a diferentes IP:

o   xxx.xxx.107.136

o    xxx.xxx.57.81

o    xxx.xxx.9.1

o    xxx.xxx.11.147

o    xxx.xxx.236.154

o    xxx.xxx.65.5

o    xxx.xxx.101.17

Gracias a la herramienta Process Explorer podemos ver como se levantan dos procesos:

               

                

Y como se conecta a diferentes equipos con TCP View:

                               

Al reiniciar la máquina, observamos que aparece un cuadro de diálogo:

                              

Seleccionando la opción “trabajar sin conexión” la ventana aparecerá nuevamente, este es un ciclo para elegir obligatoriamente el botón aceptar. Al realizar esta acción se dispara un proceso para intentar tener conexión a los servidores remotos.

                

Al buscar en el servicio VirusTotal la muestra que tiene por firma “1b97e4021dc75a8cd8854aa61984dd44”, encontramos que la detección de dicho malware es reciente, por lo que la muestra nos da un reporte donde solo 25 de 43 motores antivirus lo detectan como un archivo malicioso:

 

 

 

Esta nueva amenaza se puede replicar en la red, se pueden adjuntar al correo electrónico o por mensaje instantáneo o con una liga de descarga en el cuerpo del mensaje. En esté caso llevan un mensaje incluido en el correo el cual se usa para convencer al usuario de ejecutarlo. 

Enviado por drupaladmin el Vie, 09/21/2012 - 19:42