viernes, 22 de enero de 2010

Otro bicho por messenger III

Como era de esperarse, para mantenerse en actividad tuvieron que realizar unos cambios mas drásticos que los anteriores:


-Nuevo dominio de conexión: aschex.rr.nu al mismo puerto que las versiones anteriores (27034), ahora la contraseña de sesión es “aaa”.


-El dominio que envía los mensajes aaa.5268.com, los nombres mas actualizados de los archivos de infección son: “hi5.exe” y “carts.exe”.


-También cambiaron la clave de registro que utiliza para autoejecutarse cuando reinicia el sistema, ahora es: “Java Update”, por lo tanto es script anterior queda obsoleto.


-Nuevo nombre del proceso en ejecución: “wms.exe”. La carpeta donde se almacena el archivo para autoarranque sigue siendo la misma.


El nuevo script para desinfectar sería el siguiente:


@echo off


echo Eliminando archivo copiado locamente


rmdir /s /q %TEMP%\IXP000.TMP


rmdir /s /q %TEMP%\IXP001.TMP


rmdir /s /q %TEMP%\IXP002.TMP


rmdir /s /q %TEMP%\IXP003.TMP


echo Eliminando la clave del registro


reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "Java Update"


Pocos antivirus detectan las últimas versiones, acabo de subir un “hi5.exe” a virustotal y tan solo 2 lo detectan como troyano.

jueves, 21 de enero de 2010

Otro bicho por messenger II


Luego de una tarde de estudio de física me vinieron ganas de tirar el libro al diablo y ver cómo iban mis amigos de sexy-brazil.com con su bicho :D.


Los cambios no han sido muchos, ahora uno de los nombres con que llega el archivo infectado (a través de WindowsLive Messenger) es “good.exe”, la lista mas detallada está en unos comentarios del post anterior. El proceso se ejecuta con el nombre iexplorer.exe (como el browser, si :D, pero ocupa poco mas de 1Mb en memoria, no como el browser :D).


2


Cambiaron el puerto al que se realiza la conexión :D, ahora nos conectamos al puerto 4244, aunque los mensajes que se envían y reciben parecen ser los mismo que se vieron antes.


3


Las siguientes líneas son un pequeño script en batch para la desinfección, es demasiado simple y hasta ineficiente en el caso de que se hayan ejecutado muchas copias del “virus”, ya que a partir de la 4ta copia ejecutada se crearía la carpeta IXP004.TMP que no estaría contamplada por el script :D. Si alguien recuerda algo de batch que lo arregle por favor.


@echo off


echo Eliminando archivo copiado locamente


rmdir /s /q %TEMP%\IXP000.TMP


rmdir /s /q %TEMP%\IXP001.TMP


rmdir /s /q %TEMP%\IXP002.TMP


rmdir /s /q %TEMP%\IXP003.TMP


echo Eliminando la clave del registro


reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "Windows UDP Control Center"


Lo que hace básicamente es eliminar el o los directorios donde se guarda la copia residente del “virus” y luego eliminar la clave de autoarranque del registro. Este script es útil siempre y cuando no cambien estos parámetros en el “virus”. (SÓLO PROBADO EN WINDOWS XP)


Este script NO DETIENE al proceso que se encuentra en ejecución, hay que detenerlo con el administrador de tareas de windows o bien con el Process Hacker (muy recomendable de hecho).


Eso es todo por hoy, a seguir estudiando ¬¬.

domingo, 17 de enero de 2010

Otro bicho por messenger

Bueno, luego de una prolongada ausencia en el blog… por motivos… realmente sin motivos. Por momentos pierdo la emoción por las cosas, para nada deseable, lo confieso.


La idea de esta entrada es hacer un “análisis” sencillo de un software malicioso que estuve recibiendo constantemente estos días a través del msn.


 


Aparentemente tendría las condiciones para tratarse de un troyano, e inclusive de un cliente de una red tipo Botnet. El programa establece una conexión TCP/IP con el dominio ”komet2v.knaqu.eu” desde donde recibe las instrucciones para enviar los mensajes de propagación, por lo menos sólo eso pude ver hasta ahora.


 


Método de propagación:


A través del servicio de mensajería msn, explícitamente utilizando alguna vulnerabilidad del cliente Microsoft (comprobado sobre Windows LiveMessenger Versión 2009 Compilación 14.0.8089.726, al emesene no lo afecta :D http://www.emesene.org/). Se propaga con el mensaje que se ve en la siguiente imagen:


 


Test3


 


Puntos a tener en cuenta:



  • http://sexy-brazil.com/jovana.exe?XXXXX@hotmail.com Claramente se trata de un enlace a un sitio en Internet y no una foto enviada normalmente por un contacto a través del cliente de Messenger. Aunque podría ser la dirección de un blog o fotolog de nuestro contacto, da para desconfiar el nombre del dominio no?

  • Se puede observar la terrible semántica de la oración, algo que nos puede dar a entender que quienes lucran con esto no tienen mínima idea de español. Pero claro… si consideramos como escribe la gente en estos tiempos jajaja.

  • El enlace nos permite descargar el archivo jovana.exe, para los “eruditos” de la informática es simple darse cuenta que esto obviamente no puede tratarse de ninguna fotografía ni nada similar, no es mas que un archivo ejecutable con código escrito por vaya a saber quien. Es otro indicio claro de que se trata de un engaño marca ACME!!!, pero no todo el mundo tiene porque saber qué corcho es un .exe. Además vemos que en el enlace se envía nuestra dirección de correo electrónico (que en este caso sería la mia privada, por eso las Xs) como parámetro, entonces cabe la posibilidad de que estos seres estén también guardando direcciones para luego utilizarlas en el TAN redituable negocio del SPAM.

 


Si introducimos la dirección del dominio en el buscador (http://sexy-brazil.com) podemos ver que se trata de un servidor Apache 2 corriendo sobre CentOS. Se trata de una instalación completamente básica, a tal punto que se ve la página de la instalación sin más :D “…You may now add content to the directory /var/www/html/. Note that until you do so, people visiting your website will see this page and not your content…”.


 



Sitio


 


Cuando analizamos el dominio con http://whois.domaintools.com/sexy-brazil.com vemos que el registrante es Contactprivacy, una empresa que se encarga de resguardar la privacidad del registrante real. El dominio fue creado el 13 de enero de este año, y contratado por un año entero, es decir que es un plan bastante nuevo este jaja.


 


A tal punto su condición de nuevo, que los primeros infectados recibían el mensaje con el archivo “test.exe” en lugar de “jovana.exe”, tengo copia de ambos y tienen distintos tamaños, por lo que cabe pensar que “jovana.exe” sea una versión definitiva del software, inclusive el proceso que se ejecuta luego de la infección cambió de nombre con la nueva versión. Inicialmente se llamaba “h0lasps” y ahora se llama “DEferen”.


A continuación una imagen del proceso en ejecución:


 


Prco


 


Acabo de recibir una nueva actualización :D (16:47hs del 17 de enero), esta vez llegó un mensaje con el nombre “test3.exe”, lo cual indica que realmente están trabajando en estos momentos. No llegué a descargar esta versión ya que a los pocos minutos cambiaron nuevamente a “jovana.exe”. Pero este nuevo jovana no tiene el mismo tamaño que el anterior, así que seguramente es la release de test3 :D. También acaban de cambiar el nombre del dominio a homewww.knaqu.eu, seguramente habrá muchos cambios de nombres de dominio, de nombre del proceso y de nombre del archivo de infección, ya que es una forma de prolongar su propagación.


 


Accionar:


 


Cuando ejecutamos el archivo “jovana.exe” (en el caso de que los programas antivirus no lo hallan adverdito, mi caso con Avast actualizado a la fecha 17/01/2010) nos encontraremos con la penosa noticia de que “Picture canot be displayed.” No podemos ver la imagen (que pena, verdad?).


 


Ejecutado


 


Una vez que presionamos “Aceptar” este mensaje desaparece como si eso fuera todo, pero claro… no lo es. A partir de allí, suceden algunas cosas:



  1. Se lanza el proceso con nombre “DEferen.exe.exe”, que inicia una conexión TCP al dominio ”komet2v.knaqu.eu” al puerto 27034. Aparentemente utiliza el protocolo IRC para intercambiar mensajes y órdenes. Por este medio llegan las notificaciones que luego se envían por el cliente de mensajería.

Si analizamos este dominio como hicimos con el anterior (http://whois.domaintools.com/knaqu.eu), podemos ver que la entidad registrante está NOT DISCLOSED!, es decir, no está revelada… Poco serio??? Jajaja.


 


Podemos apreciar la conexión establecida mediante netstat, como se muestra en la imagen.


 


ConexionTCP0


 


En el primer cuadro rojo podemos ver el nombre del dominio que se obtuvo de la resolución inversa de la dirección 217.148.32.202 …, un dominio “.uk”, del reino unido??? WTF!!! La resolución directa de komet2v.knaqu.eu, nos da esa dirección IP anterior, pero la resolución inversa de esa dirección no nos devuelve komet2v.knaqu.eu; es decir no coinciden, lo cual es un tanto sospechoso. Orchard Design es una organización de E-Business, según así lo relata su sitio web: orchard-design.co.uk, que además está en remodelamiento… lo cual lo hace más raro aún… Puede que estén utilizando algún servidor de este dominio para esta actividad. En fin… todo suena un poco raro :D.



  1. Se agrega una clave en el registro para asegurarse que el proceso vuelva a iniciarse cuando el sistema se reinicie o apague. Copia el archivo ejecutable en una carpeta del usuario, en la dirección que indican las imágenes.

La clave utiliza el nombre Java Update como camuflaje, simpático, no?


 


Clavedelregistro1


 


Carpeta Temp del usuario, donde se localiza el archivo.


 


Copiaentemporales


 


Con wireshark seguimos el establecimiento de la conexión, y vemos la primer consulta DNS para obtener la dirección del dominio ”komet2v.knaqu.eu” y luego la conexión TCP.


 


ConexionDNSyTCP


 


Ahora seguimos la conexión TCP para ver qué información viaja entre el cliente (nos) y el servidor (vaya a saber quien).


 


ConexionTCP1


 


Se puede apreciar la autenticación del tipo IRC que realiza el cliente, y vemos que uno de los datos enviados por el cliente es el nombre del equipo, en nuestro caso “asd-0183eaaee49”, posiblemente utilizado para distinguir los “bots” de la red. El IRC nunca fue mi fuerte, pero se pueden ver conexiones y cambios de modo del canal al cual se une el cliente. También se observa una suerte de mecanismo de ping, para cerciorarse que el bot aún sigue funcional.


En la próxima imagen se ven las órdenes recibidas del servidor para mandar los mensajes con la dirección del archivo infectado. Esta es una técnica muy interesante, ya que de esta manera cualquier cambio en el nombre o la dirección de los archivos de infección, se actualiza fácilmente sólo cambiando el mensaje que se envía a los clientes. Se puede ver que el primer mensaje se envió indicando el archivo “test3.exe” y el siguiente fue de “jovana.exe”.


 


ConexionTCP2


 


En lo que va de estos dos días solamente pude ver mensajes de este tipo, es decir, no recibí mensajes que indicaran otra acción al programa residente. Lo cual no descarta que esta sea solamente la primer etapa de la infección, donde lo único importante es elevar el número de bots de la red (si es que se trata de esto :D, adoro la ciencia ficción :D).


 


Desinfección:


 


La desinfección es bastante simple:



  • Matamos el proceso con el administrador de tareas de Windows, para detener inmediatamente el proceso y así frenar la comunicación con el servidor maligno. Nos aseguramos de estar cerrando el proceso correcto comparando el PID que vemos alli en el administrador de tarea y el que vimos mediante netstat. :D

Desinfeccion1


 



  • Luego eliminamos tanto el archivo descargado como la copia que se almacenó en la carpeta “Temp”.

Desinfeccion2


 



  • Y por último quitarlo del inicio, ya sea borrando la clave del registro o modificando desde la aplicación “msconfig” en la pestaña de inicio.

Inicio->Ejecutar->msconfig :D


 


Desinfeccion4


 


Eliminar la clave del registro, Inicio->Ejecutar->regedit la dirección de la clave está en la imagen:


 


Desinfeccion3


En definitiva se trata una vez mas de un posible troyano molesto de esos que se propagan gracias (mayoritariamente) a la desonocimiento (imprudencia también) de las personas. Por ahora parece no ser dañino en absoluto, pero claro… cualquier software que puede ser controlado remotamente por desconocidos no es bienvenido :D (botnet botnet!!!).


También se puede resaltar que está en pleno desarrollo, la último versión probada según virus total es reconocida por muy pocos antivirus. http://www.virustotal.com/es/analisis/1b5451819d9548c9ddf40be6629e6ac91e9a3e401aa3e217cf3071e628414773-1263770379