Bichología – Pincha en la foto
Ha pasado tiempo desde el último post, pero no me he olvidado de
vosotros. Si habeis seguido los últimos posts, parece que habíamos
llegado a un callejón sin salida. Mi sensación es que nos falta
información y no tenemos el “ejemplar” completo.
Por lo que vamos a intentarlo de nuevo con un “bicho” que me han pasado hoy.
Este es muy cuco. Te llega un email con una foto pequeñita, en la que parece que hay chicas de fiesta. ¿Y tú qué haces? Pinchas para “ampliar la foto” (¿quién no lo haría?). El problema es que la foto en realidad es un enlace a una página web, alojada en Argentina, que te descarga un ejecutable.
Este ejecutable, llamémosle “Foto28_.com“, es más sospechoso que un norcoreano haciendo fotos en Almaraz.
El informe de VirusTotal nos da a entender que es algún tipo de “downloader” (es decir, este “bicho” tiene la función de descargar otros “bichos”) y que está empaquetado con PECompact2.
El informe de Anubis nos da muchas pistas, que podemos corroborar ejecutando el programa en un sandbox (Windows XP corriendo en VMWare Workstation 7).
Efectivamente, lo primero que hace el ejecutable es conectarse a varias URLs.
El resto son descargas de ficheros, que terminan en una carpeta C:\CMOS\ con los siguientes nombres:
Los ficheros XLR.EXE y XLR2.EXE son idénticos, lo cual se corresponde con sólo las 3 descargas de ficheros realizadas. El fichero ID es creado por uno de los procesos RunDLL32.exe que lanzan los CPL.
Además se crean las claves de registro necesarias (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) para lanzar los 4 ejecutables cada vez que arranque Windows.
Lo más sencillo aquí es coger cada uno de los ficheros descargados, y subirlos a VirusTotal.
Fuente: Blog de Alfredo Reino
Por lo que vamos a intentarlo de nuevo con un “bicho” que me han pasado hoy.
Este es muy cuco. Te llega un email con una foto pequeñita, en la que parece que hay chicas de fiesta. ¿Y tú qué haces? Pinchas para “ampliar la foto” (¿quién no lo haría?). El problema es que la foto en realidad es un enlace a una página web, alojada en Argentina, que te descarga un ejecutable.
Este ejecutable, llamémosle “Foto28_.com“, es más sospechoso que un norcoreano haciendo fotos en Almaraz.
El informe de VirusTotal nos da a entender que es algún tipo de “downloader” (es decir, este “bicho” tiene la función de descargar otros “bichos”) y que está empaquetado con PECompact2.
El informe de Anubis nos da muchas pistas, que podemos corroborar ejecutando el programa en un sandbox (Windows XP corriendo en VMWare Workstation 7).
Efectivamente, lo primero que hace el ejecutable es conectarse a varias URLs.
- http://*******.h1.ru/inf/infect.php?url=COMPUTERNAME
- http://*******.hpg.ig.com.br/xlr.html
- http://*******.hpg.ig.com.br/xln.html
- http://*******.hpg.ig.com.br/xlb.html
El resto son descargas de ficheros, que terminan en una carpeta C:\CMOS\ con los siguientes nombres:
Los ficheros XLR.EXE y XLR2.EXE son idénticos, lo cual se corresponde con sólo las 3 descargas de ficheros realizadas. El fichero ID es creado por uno de los procesos RunDLL32.exe que lanzan los CPL.
Además se crean las claves de registro necesarias (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) para lanzar los 4 ejecutables cada vez que arranque Windows.
Lo más sencillo aquí es coger cada uno de los ficheros descargados, y subirlos a VirusTotal.
- Los XLR.EXE son, de momento, sólo detectados por Kaspersky, por primera vez hoy mismo, e identificados como Trojan-PSW.Win32.LdPinch.ankl.
- El XLB.CPL tres cuartos de lo mismo: analizado por VT por primera vez hoy y detectado sólo por Kaspersky como TrojanBanker.Win32.Banker.axhu.
- El último fichero, XLN.CPL, tambien es fresco de hoy, y es detectado por Sophos (como Mal/Banspy-K) y F-Secure (DeepScan:Generic.Banker.Delf.B218B63B).
Fuente: Blog de Alfredo Reino
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!