domingo, 17 de enero de 2010

Otro bicho por messenger

Bueno, luego de una prolongada ausencia en el blog… por motivos… realmente sin motivos. Por momentos pierdo la emoción por las cosas, para nada deseable, lo confieso.


La idea de esta entrada es hacer un “análisis” sencillo de un software malicioso que estuve recibiendo constantemente estos días a través del msn.


 


Aparentemente tendría las condiciones para tratarse de un troyano, e inclusive de un cliente de una red tipo Botnet. El programa establece una conexión TCP/IP con el dominio ”komet2v.knaqu.eu” desde donde recibe las instrucciones para enviar los mensajes de propagación, por lo menos sólo eso pude ver hasta ahora.


 


Método de propagación:


A través del servicio de mensajería msn, explícitamente utilizando alguna vulnerabilidad del cliente Microsoft (comprobado sobre Windows LiveMessenger Versión 2009 Compilación 14.0.8089.726, al emesene no lo afecta :D http://www.emesene.org/). Se propaga con el mensaje que se ve en la siguiente imagen:


 


Test3


 


Puntos a tener en cuenta:



  • http://sexy-brazil.com/jovana.exe?XXXXX@hotmail.com Claramente se trata de un enlace a un sitio en Internet y no una foto enviada normalmente por un contacto a través del cliente de Messenger. Aunque podría ser la dirección de un blog o fotolog de nuestro contacto, da para desconfiar el nombre del dominio no?

  • Se puede observar la terrible semántica de la oración, algo que nos puede dar a entender que quienes lucran con esto no tienen mínima idea de español. Pero claro… si consideramos como escribe la gente en estos tiempos jajaja.

  • El enlace nos permite descargar el archivo jovana.exe, para los “eruditos” de la informática es simple darse cuenta que esto obviamente no puede tratarse de ninguna fotografía ni nada similar, no es mas que un archivo ejecutable con código escrito por vaya a saber quien. Es otro indicio claro de que se trata de un engaño marca ACME!!!, pero no todo el mundo tiene porque saber qué corcho es un .exe. Además vemos que en el enlace se envía nuestra dirección de correo electrónico (que en este caso sería la mia privada, por eso las Xs) como parámetro, entonces cabe la posibilidad de que estos seres estén también guardando direcciones para luego utilizarlas en el TAN redituable negocio del SPAM.

 


Si introducimos la dirección del dominio en el buscador (http://sexy-brazil.com) podemos ver que se trata de un servidor Apache 2 corriendo sobre CentOS. Se trata de una instalación completamente básica, a tal punto que se ve la página de la instalación sin más :D “…You may now add content to the directory /var/www/html/. Note that until you do so, people visiting your website will see this page and not your content…”.


 



Sitio


 


Cuando analizamos el dominio con http://whois.domaintools.com/sexy-brazil.com vemos que el registrante es Contactprivacy, una empresa que se encarga de resguardar la privacidad del registrante real. El dominio fue creado el 13 de enero de este año, y contratado por un año entero, es decir que es un plan bastante nuevo este jaja.


 


A tal punto su condición de nuevo, que los primeros infectados recibían el mensaje con el archivo “test.exe” en lugar de “jovana.exe”, tengo copia de ambos y tienen distintos tamaños, por lo que cabe pensar que “jovana.exe” sea una versión definitiva del software, inclusive el proceso que se ejecuta luego de la infección cambió de nombre con la nueva versión. Inicialmente se llamaba “h0lasps” y ahora se llama “DEferen”.


A continuación una imagen del proceso en ejecución:


 


Prco


 


Acabo de recibir una nueva actualización :D (16:47hs del 17 de enero), esta vez llegó un mensaje con el nombre “test3.exe”, lo cual indica que realmente están trabajando en estos momentos. No llegué a descargar esta versión ya que a los pocos minutos cambiaron nuevamente a “jovana.exe”. Pero este nuevo jovana no tiene el mismo tamaño que el anterior, así que seguramente es la release de test3 :D. También acaban de cambiar el nombre del dominio a homewww.knaqu.eu, seguramente habrá muchos cambios de nombres de dominio, de nombre del proceso y de nombre del archivo de infección, ya que es una forma de prolongar su propagación.


 


Accionar:


 


Cuando ejecutamos el archivo “jovana.exe” (en el caso de que los programas antivirus no lo hallan adverdito, mi caso con Avast actualizado a la fecha 17/01/2010) nos encontraremos con la penosa noticia de que “Picture canot be displayed.” No podemos ver la imagen (que pena, verdad?).


 


Ejecutado


 


Una vez que presionamos “Aceptar” este mensaje desaparece como si eso fuera todo, pero claro… no lo es. A partir de allí, suceden algunas cosas:



  1. Se lanza el proceso con nombre “DEferen.exe.exe”, que inicia una conexión TCP al dominio ”komet2v.knaqu.eu” al puerto 27034. Aparentemente utiliza el protocolo IRC para intercambiar mensajes y órdenes. Por este medio llegan las notificaciones que luego se envían por el cliente de mensajería.

Si analizamos este dominio como hicimos con el anterior (http://whois.domaintools.com/knaqu.eu), podemos ver que la entidad registrante está NOT DISCLOSED!, es decir, no está revelada… Poco serio??? Jajaja.


 


Podemos apreciar la conexión establecida mediante netstat, como se muestra en la imagen.


 


ConexionTCP0


 


En el primer cuadro rojo podemos ver el nombre del dominio que se obtuvo de la resolución inversa de la dirección 217.148.32.202 …, un dominio “.uk”, del reino unido??? WTF!!! La resolución directa de komet2v.knaqu.eu, nos da esa dirección IP anterior, pero la resolución inversa de esa dirección no nos devuelve komet2v.knaqu.eu; es decir no coinciden, lo cual es un tanto sospechoso. Orchard Design es una organización de E-Business, según así lo relata su sitio web: orchard-design.co.uk, que además está en remodelamiento… lo cual lo hace más raro aún… Puede que estén utilizando algún servidor de este dominio para esta actividad. En fin… todo suena un poco raro :D.



  1. Se agrega una clave en el registro para asegurarse que el proceso vuelva a iniciarse cuando el sistema se reinicie o apague. Copia el archivo ejecutable en una carpeta del usuario, en la dirección que indican las imágenes.

La clave utiliza el nombre Java Update como camuflaje, simpático, no?


 


Clavedelregistro1


 


Carpeta Temp del usuario, donde se localiza el archivo.


 


Copiaentemporales


 


Con wireshark seguimos el establecimiento de la conexión, y vemos la primer consulta DNS para obtener la dirección del dominio ”komet2v.knaqu.eu” y luego la conexión TCP.


 


ConexionDNSyTCP


 


Ahora seguimos la conexión TCP para ver qué información viaja entre el cliente (nos) y el servidor (vaya a saber quien).


 


ConexionTCP1


 


Se puede apreciar la autenticación del tipo IRC que realiza el cliente, y vemos que uno de los datos enviados por el cliente es el nombre del equipo, en nuestro caso “asd-0183eaaee49”, posiblemente utilizado para distinguir los “bots” de la red. El IRC nunca fue mi fuerte, pero se pueden ver conexiones y cambios de modo del canal al cual se une el cliente. También se observa una suerte de mecanismo de ping, para cerciorarse que el bot aún sigue funcional.


En la próxima imagen se ven las órdenes recibidas del servidor para mandar los mensajes con la dirección del archivo infectado. Esta es una técnica muy interesante, ya que de esta manera cualquier cambio en el nombre o la dirección de los archivos de infección, se actualiza fácilmente sólo cambiando el mensaje que se envía a los clientes. Se puede ver que el primer mensaje se envió indicando el archivo “test3.exe” y el siguiente fue de “jovana.exe”.


 


ConexionTCP2


 


En lo que va de estos dos días solamente pude ver mensajes de este tipo, es decir, no recibí mensajes que indicaran otra acción al programa residente. Lo cual no descarta que esta sea solamente la primer etapa de la infección, donde lo único importante es elevar el número de bots de la red (si es que se trata de esto :D, adoro la ciencia ficción :D).


 


Desinfección:


 


La desinfección es bastante simple:



  • Matamos el proceso con el administrador de tareas de Windows, para detener inmediatamente el proceso y así frenar la comunicación con el servidor maligno. Nos aseguramos de estar cerrando el proceso correcto comparando el PID que vemos alli en el administrador de tarea y el que vimos mediante netstat. :D

Desinfeccion1


 



  • Luego eliminamos tanto el archivo descargado como la copia que se almacenó en la carpeta “Temp”.

Desinfeccion2


 



  • Y por último quitarlo del inicio, ya sea borrando la clave del registro o modificando desde la aplicación “msconfig” en la pestaña de inicio.

Inicio->Ejecutar->msconfig :D


 


Desinfeccion4


 


Eliminar la clave del registro, Inicio->Ejecutar->regedit la dirección de la clave está en la imagen:


 


Desinfeccion3


En definitiva se trata una vez mas de un posible troyano molesto de esos que se propagan gracias (mayoritariamente) a la desonocimiento (imprudencia también) de las personas. Por ahora parece no ser dañino en absoluto, pero claro… cualquier software que puede ser controlado remotamente por desconocidos no es bienvenido :D (botnet botnet!!!).


También se puede resaltar que está en pleno desarrollo, la último versión probada según virus total es reconocida por muy pocos antivirus. http://www.virustotal.com/es/analisis/1b5451819d9548c9ddf40be6629e6ac91e9a3e401aa3e217cf3071e628414773-1263770379

3 comentarios:

  1. Actualizando un poco, hay nuevos nombres para el archivo de infección, el listado ahora sería:

    test.exe
    test3.exe
    jovana.exe
    b0y.exe (nuevo)
    sexygirl.exe (nuevo)

    A simple vista la desinfección sería idéntica en todos los, ya que el comportamiento es al menos muy similar.

    ResponderEliminar
  2. Algunos cambios mas:

    -El dominio nuevo (aunque apuntando a la misma dirección) es "homework.knaqu.eu".
    -Nuevo nombre del proceso residente, ahora es "firefoxfx.exe".
    -Cambio del password de inicio de sesión de "sextsex" a "letmein"
    -Nuevo nombre de archivo de infección "maus.exe".
    -Nuevo nombre para la clave del registro "Windows UDP Control Center", muy buen nombre de hecho xD.

    El método de desinfección sigue siendo el mismo.

    ResponderEliminar
  3. Leyendo un poco mas el tránsito tcp con el servidor encontré el nombre de dominio aaa.54338.com, desde donde provienen todas las órdenes para el cliente.
    El análisis del nombre de dominio detallado es: http://whois.domaintools.com/54338.com, donde se puede ver que pertenece a un registrante chino... que tiene registrados casi 2k dominios jajaj...
    En fin... es suficiente por hoy...

    ResponderEliminar