Supuesto archivo EXE contiene código HTML

El UNAM – CERT recibió el reporte sobre un archivo malicioso, se trataba de un archivo con extensión “exe” (ejecutable de Windows), que al abrir con un editor de textos contenía código HTML. El archivo estaba alojado en un sitio de Brasil, se consideró  sospechoso y por lo tanto se comenzó su análisis.

Al ingresar desde un navegador al sitio que alojaba el malware, se mostraba al usuario el mensaje advirtiendo que el sitio se encontraba desactivado por el momento, sin embargo, el sitio no estaba fuera de línea ya que era posible descargar el archivo de forma común.

Haciendo el análisis de cadenas con BinText, el archivo malicioso mostró código en HTML (como lo mencionamos anteriormente) donde la etiqueta “iframe” permitía introducir una página web HTML dentro de otra. En la mayoría de las ocasiones, esto se hace con el fin de hacerla más vistosa y llamativa al usuario, con la intensión de que haga clic en alguna ventanita que no pertenece a la página original, de esta forma se permite la ejecución de contenido externo en el equipo del usuario, ocasionando que pudiesen infectarse con malware descargado desde su sitio de confianza.

Al ingresar a la nueva dirección para verificar si se encontraba activa, el navegador mostraba el mismo aviso que apareció cuando se accedió al archivo malicioso, el cual notificaba que el sitio estaba desactivado por el momento. Se procedió a bajar el código HTML y con ello se verificó que contenía dicho aviso.

En VirusTotal se tiene el reporte de que solo 11 de 42 soluciones identifican al archivo ejecutable como malicioso.

La pieza de malware tiene las siguientes firmas digitales:

Después realizamos el análisis dinámico del archivo ejecutable para tener un panorama general de su comportamiento. La ejecución del archivo levantó un proceso con el nombre “ntvdm.exe”.

Este proceso ejecutó una interfaz de línea de comandos y el cursor cambió su posición de manera aleatoria en la ventana.

No hubo actividad de creación, modificación o eliminación de archivos y tampoco se registró actividad de red, por lo cual se procedió a revisar el archivo malicioso con un editor hexadecimal. La información que mostró es la misma que la reportada por la herramienta de análisis de cadenas, pero ahora nos dimos cuenta que el inicio del archivo (3C 68) no corresponde con el “número mágico” que identifica a los archivos ejecutables para Windows (4D 5A).

Verificamos, con el comando “file” en Linux, el tipo de archivo de la muestra. La información que proporciona es referente a un archivo HTML.

Y por ser un documento de texto, se puede abrir con cualquier herramienta que permita leer o editar archivos de texto tanto en Windows como en Linux.

Posteriormente cambiamos la extensión del archivo “.exe” por “.html” para ver la incrustación del código HTML que hace el archivo malicioso una vez que se tiene conexión a internet. El resultado es el siguiente y es todo lo que hace el archivo malicioso:

Hicimos una prueba de concepto en la cual se generó un archivo “prueba.exe” con etiquetas de HTML siguiendo el ejemplo del archivo “pdvEstrutura.exe” y se ejecutó en Windows XP. El comportamiento fue el mismo que el del archivo malicioso.

Nos dimos a la tarea de averiguar cuál podría ser la cadena que provocaba este comportamiento, ya que para este momento del análisis solo es la ejecución del código HTML. Se generó un archivo con extensión “.exe” y la cadena “</b”.

Finalmente tenemos que el proceso “ntvdm.exe” es independiente del objetivo principal de nuestra muestra de malware, es un proceso válido y está relacionado con Windows NT DOS Virtual Machine que provee un ambiente para ejecutar aplicaciones de 16 bits en plataformas de 32 bits.

En este caso la incrustación del código HTML que se hace del sitio en Brasil, solo se limitaba a mostrar un mensaje estático en el navegador por lo que podríamos pensar que no es un evento malicioso, pero el uso más común de este tipo de tácticas es la publicidad falsa, donde los visitantes de sitios web que aparentemente son de confianza (pero que en realidad fueron alterados), corren el riesgo de ser infectados por malware o ser víctimas de robo de información al llenar un formulario. Se recomienda a los usuarios prestar mayor atención al momento de acceder a las aplicaciones de las redes sociales, mantener actualizado su sistema operativo al igual que su navegador y contar con una solución antivirus.