Liga que se encuentra propagando malware

El día de hoy tuvimos un informe sobre una supuesta liga (0xx.tw/NMZTh) que se encontraba propagando códigos maliciosos, el sitio pertenece a un dominio de Asia, al descargar el sitio nos dimos cuenta que solamente estaba realizando un direccionamiento a otro sitio alojado en Estados Unidos.

La estructura del sitio es la siguiente:

  205.186.164.XXX
      |-- versao
      |-- Windows_Live.scr
      |--server
      |-- Thumbs.db

El archivo malicioso que nos reportaron se trata de Windows_Live.scr, al verificar el tipo de archivo nos dice que es un ejecutable de Windows de 32 bits (PE32 executable for MS Windows (GUI) Intel 80386 32-bit) con las siguientes firmas digitales:

Md5: 7b485fec6ee8b7c701c4c2f7e3ec62d0

Sha1: 8371067d247f094a2aef198076896f9b6eb36c77

Al analizar la muestra con virus total nos arrojó que 15 motores son capaces de identificarlo (http://www.virustotal.com/file-scan/report.html?id=eaa6d1b1b74f9173b1b7f8b11d1ec75bb4db7b43e2aee780c423cb3a57184cb1-1287418402)

El código malicioso aparece empaquetado con UPX y por los análisis que se realizaron fue programado en Delphi.

Al ejecutar el malware en el laboratorio, creó el directorio C:/WINDOWS/debugs, donde se aloja un archivo ejecutable llamado csrrs.exe el cual es el proceso que queda levantado y comienza a realizar peticiones tcp a dos sitios diferentes.

Los directorios y archivos creados son los siguientes:

C:/WINDOWS/debugs

C:/WINDOWS/debugs/csrrs.exe

C:/WINDOWS/debugs/Online

C:/DocumentsandSettings/usuario1/Configuraciónlocal/ArchivostemporalesdeInternet/Content.IE5/T09Q4LF6/Thumbs[1].db

El archivo creado csrrs.exe contiene la siguiente firma digital.

Md5: 7f730463f03978fb84c90e7ff9780602

Sha1: d029a106bc22dda91d02101d2d5dd237512a3486

Dicho ejecutable es lanzado como proceso, abre un puerto y lo mantiene en escucha. Igualmente el archivo ejecutable se encuentra empaquetado con UPX y se muestran cadenas en las cuales es posible saber que fue programando igualmente en Delphi.

El ejecutable una vez desempaquetado podemos verificar que se encuentra un posible diccionario y en el análisis de cadenas pareciera que trata de realizar un ataque de diccionario a alguna base de datos.

El proceso abre el puerto y lo deja en escucha. Pero además comienza a realizar peticiones de DNS al sitio chrusrube.sc15.XX.uk, el cual contesta con la dirección IP 91.186.20.XXX, de dicho sitio realiza la descarga de un ejecutable, llamado geral.txt y el cual es un ejecutable. Al descargar todos los ejecutables de dicho sitio, nos percatamos que existen tres ejecutables más con la extensión txt, la estructura del sitio tiene la siguiente forma.

		c hrisribe.sc15.XX.uk/
          |-- index.html

		|-- versao

		          |-- geral.txt

		|-- index.html

		          |-- skol.txt

		          |-- updat.txt

Los archivos sospechosos son los que tienen la extensión txt, todos son ejecutables de Windows, sus firmas md5 y sha1 son las siguientes:

Md5: 7f730463f03978fb84c90e7ff9780602 geral.txt

Md5: 54af1a92ef78d4c7258f48a4e4da4f19 skol.txt

Md5: 78c49cff77cfce317d584da6c46f7b95 updat.txt

Sha1: d029a106bc22dda91d02101d2d5dd237512a3486 geral.txt

Sha1: f4a7133811ffc9dbf53b5b1bd720715bc19e9f83 skol.txt

Sha1: ec728313a0212697649273654e124a23ede691f9 updat.txt

El análisis con motores antivirus mostró el siguiente panorama

skol.txt (25 motores lo identifican la mayoría como un downloader) http://www.virustotal.com/file-scan/report.html?id=1975d05e070d34359511c960e6634dff618f8711abe7c4eb44e66963590b3f89-1287444509

geral.txt (12 motores lo identifican)http://www.virustotal.com/file-scan/report.html?id=73e7938c5dfb3fc179aaa891a3d32077434ca98c525215bdffa27e0f81302088-1287444541

updat.txt (3 motores lo identifican) http://www.virustotal.com/file-scan/report.html?id=92b20f62f3940b6ba8daea31eacfde706e3926df787ee031e88a758257803b78-1287444557

Todos los archivos están empaquetados con UPX. Además baja una llave del sitio chrisribe.sc15.XX.uk

Posteriormente comienza a realizar peticiones de DNS al sitio mssql2k.brasXXXX.com con lo que contesta con la dirección IP 204.16.2.XXX, con este sitio comienza a realizar peticiones por el puerto 1433 que corresponde a MSSQL y en el cual mantiene la siguiente conversación.

		 ...4.....................(......U...MSSQLServer........%................................................q....................h......V...d...t................................*........E.Q.-.0.0.1.6.p.h.o.t.e.w.n.e.....6.....#.....m.s.s.q.l.2.k...b.r.a.s.l.i.n.k...c.o.m.O.L.E.D.B.p.h.o.t.e.w.n.e..... ........p.h.o.t.e.w.n.e..m.a.s.t.e.r..j.E.....'.C.h.a.n.g.e.d. .d.a.t.a.b.a.s.e. .c.o.n.t.e.x.t. .t.o. .'.p.h.o.t.e.w.n.e.'....M.S.S.Q.L.2.K.2.............4.....u.s._.e.n.g.l.i.s.h...j.G.....'.C.h.a.n.g.e.d. .l.a.n.g.u.a.g.e. .s.e.t.t.i.n.g. .t.o. .u.s._.e.n.g.l.i.s.h....M.S.S.Q.L.2.K.2.....6..q....M.i.c.r.o.s.o.f.t. .S.Q.L. .S.e.r.v.e.r..............4.0.9.6..4.0.9.6.............2....S.E.T. .N.O._.B.R.O.W.S.E.T.A.B.L.E. .O.N..... ...........................cL.......2L...s.e.l.e.c.t. .*. .f.r.o.m. .b.e.t.a. .w.h.e.r.e. .i.d.m.a.q. .=. .@.P.1. ....c .......2 ...@.P.1. .v.a.r.c.h.a.r.(.6.0.0.)....X.....2..EQ-0016usuario1B85AAC43-0.... ............c.o.d.i.g.o............,.i.d.m.a.q............4.d.a.t.a............4.v.e.r.s.a.o............4.o.n.l.i.n.e.s............4.s.t.a.t.u.s.......b.e.t.a...............................y.....................S.E.T. .F.M.T.O.N.L.Y. .O.N. .s.e.l.e.c.t. .*. .f.r.o.m. .b.e.t.a. .w.h.e.r.e. .i.d.m.a.q. .=. .'. .'. .. .S.E.T. .F.M.T.O.N.L.Y. .O.F.F..... .....................c.o.d.i.g.o............,.i.d.m.a.q............4.d.a.t.a............4.v.e.r.s.a.o............4.o.n.l.i.n.e.s............4.s.t.a.t.u.s.......b.e.t.a.......................................................cL.......2L...s.e.l.e.c.t. .*. .f.r.o.m. .b.e.t.a. .w.h.e.r.e. .i.d.m.a.q. .=. .@.P.1. ....c .......2 ...@.P.1. .v.a.r.c.h.a.r.(.6.0.0.)....X.....2..EQ-0016usuario1B85AAC43-0.... ............c.o.d.i.g.o............,.i.d.m.a.q............4.d.a.t.a............4.v.e.r.s.a.o............4.o.n.l.i.n.e.s............4.s.t.a.t.u.s.......b.e.t.a...............................y............................c........2....I.N.S.E.R.T. .I.N.T.O. .".p.h.o.t.e.w.n.e.".....".b.e.t.a.". .(.".i.d.m.a.q.".,.".d.a.t.a.".,.".v.e.r.s.a.o.".,.".o.n.l.i.n.e.s.".,.".s.t.a.t.u.s.".). .V.A.L.U.E.S. .(.@.P.1.,.@.P.2.,.@.P.3.,.@.P.4.,.@.P.5.)...c........2....@.P.1. .v.a.r.c.h.a.r.(.2.5.).,.@.P.2. .v.a.r.c.h.a.r.(.1.0.).,.@.P.3. .v.a.r.c.h.a.r.(.1.).,.@.P.4. .v.a.r.c.h.a.r.(.3.).,.@.P.5. .v.a.r.c.h.a.r.(.1.)..........2..EQ-0016usuario1B85AAC43-0.......2.18/10/2010.........2..0.........2..Sim.........2..0.... ............y................*....S.E.L.E.C.T. .@.@.I.D.E.N.T.I.T.Y....* ..........l.&............7...........

Pareciera que está tratando de realizar diferentes consuntas con alguna base de datos, parece ser que fue instalado un pequeño motor de la misma ya que las diferentes llaves de registro nos muestran mucha actividad de instalaciones con MSSQL.

[software\Microsoft\MSSQLServer]

[software\Microsoft\MSSQLServer\Client]

[software\Microsoft\MSSQLServer\Client\SuperSocketNetLib]

Enviado por plorenzana el Lun, 10/18/2010 - 18:58

Inicie sesión para comentar

Comentarios

esta padre la página

Enlace permanente Enviado por Anónimo el Vie, 10/22/2010 - 19:07

esta padre la página

Inicie sesión para comentar

Idiomas

Sitios de interés

Liga que se encuentra propagando malware

Comentarios

esta padre la página

Idiomas

Formulario de búsqueda

Sitios de interés

Liga que se encuentra propagando malware

Comentarios

esta padre la página