EspañolTroyano - supuestas fotos de la revista H
El UNAM-CERT recibió el reporte de un correo electrónico que contenía una liga hacia la descarga de posible malware. A continuación se muestra el mensaje del correo que hace referencia a fotografías de la revista H:
La liga redirige a la descarga el archivo "Ninel _Conde _Revista_H_.zip" en un servidor alojado en Estados Unidos.
En la página de inicio del sitio web que aloja el archivo en formato ZIP, se muestra una imagen con la leyenda: "SITIO EN CONSTRUCCIÓN", por lo cual no es posible determinar si se trata de un sitio oficial que fue vulnerado o se utiliza para propagar archivos sospechosos.
Al descomprimir el archivo "Ninel _Conde _Revista_H_.zip" se obtiene el archivo "Ninel Conde Revista H.exe", que al ejecutarlo en un ambiente controlado sin salida a Internet muestra el siguiente comportamiento:
- Se inicia el proceso "web0413.exe" que a su vez inicia el proceso "itacoffee.exe".
- Posteriormente, el proceso "Ninel Conde Revista H.exe" levanta el proceso "Ninel.exe" e "itacoffee.exe" inicia "url.exe".
- El proceso "url.exe" intenta establecer conexión con un servidor web al puerto 80, como se muestra a continuación en el tráfico de red:
- Después de unos segundos aparece una pantalla maximizada en el equipo comprometido con el nombre "Ninel Conde, El bombon Asesino". También se muestra una ventana de error donde alerta que el archivo "webagent.exe" no fue encontrado.
- En la actividad del Registro muestra que se crea la llave "itacoffee", la cual iniciará en cada inicio del sistema el archivo ejecutable "webagent.exe", el cual no es generado una vez ejecutada la muestra.
- En cuanto a los cambios en el sistema de archivos, crea las carpetas "itacoffee" y "tmp":
- A continuación se muestran los archivos creados en las dos carpetas mencionadas anteriormente:
En el análisis de cadenas se encontró la dirección web "http://nsis.sf.net", en la cual se puede descargar la herramienta "Nullsoft Scriptable Install System", que es usada para crear instaladores para sistemas Windows.
Este instalador también fue identificado al usar la herramienta "Exeinfo PE":
Se dejó interactuar a la muestra con Internet y se determinó el siguiente comportamiento:
- Se inicia el proceso "javaw.exe" y establece conexión de red con el servidor web remoto por dirección IP.
- El proceso no corresponde a la aplicación java del usuario, sino que es un programa en ejecución que se descargó una vez que logró tener interacción con Internet.
- En el tráfico de red se puedo identificar que se hace la petición por método GET para descargar el archivo "webagent.zip".
- Una vez terminada la descarga del archivo comprimido en formato ZIP de 52 MB, se inicia el proceso "zip.exe", dicha acción es con la finalidad de descomprimir el archivo que se había descargado. Una vez extraídos todos los archivos y carpetas se levanta el proceso "webagent.exe".
- El proceso "webagent.exe" es al que hace referencia la llave de registro que se creó una vez que se ejecutó la muestra "Ninel Conde Revista H.exe" y que también la interfaz maximizada no pudo encontrar.
- A continuación se muestran los archivos contenidos en el ZIP "webagent.zip":
- También se puede apreciar en el tráfico de red, que se efectúan peticiones a otra ruta del servidor remoto donde se le pasa la dirección MAC del equipo comprometido en la variable "mac":
- La acción anterior podría llevarse a cabo con la finalidad de llevar un registro de los equipos infectados y saber qué configuración debe solicitar cada vez que el proceso de la muestra se levante.
Para el análisis particular de esta muestra, se tiene una serie de descargas provenientes de archivos que se van descargando y ejecutando con el fin de no ser detectados como maliciosos por los motores antivirus, el comportamiento depende de lo que el creador de muestra mande en las descargas solicitadas.
- Inicie sesión para comentar
English
