Todos los enlaces de las supuestas fotos apuntan a http://mulhersubita.100webspace.ne t/ que nos redirije a un sito chino, específicamente a http://www.cwts.com.cn/en/area/taiwan/Downloads_E.z ip . Una vez descargado este archivo comprimido quien no se sentiría tentado de ver unas fotos... En fín, dichi zip contiene un ejecutable, que a este momento es detectado por 4 de los 42 antivirus que utiliza virus total, es decir, es muy muy nueno evidentemente. Enlace de mi reporte en virus total: http://www.virustotal.com/file-scan/report.html?id=77df88abc1a50a6d1b2b283388e1d1561f91e2b78becb870d1555d3b57cfbffb-1282783946 .
Una vez prepara la vm nueva voy a probar qué hace este nuevo bichito :D.
...
...
5 minutos después... una gran decepción, por algún motivo obtengo esto:
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
process: terminated C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
Es decir, el proceso se crea y muere inmediatamente... es probable que el entorno donde lo intento ejecutar no le sea propicio (Windows XP SP3).
Aca el reporte de anubis: http://anubis.iseclab.org/?action=result&task_id=13f3d7a196e03ed6459da776ce3d9e114&format=pdf .
Las actividades que registró anubis yo no las observé en mi entorno de pruebas, para esto debe haber una explicación, mis conjeturas son:
-Anubis realiza las pruebas sobre otro sistema operativo distinto del mio.
-Mi programa de logging de actividades CaptureBAT no registra las actividades de este malware, posiblemente sea mas avanzado que los demás.
Hasta el momento no registré actividad de red extraña desde la VM infectada, lo que me llama poderosamente la atención. No pude avisar a los administradores del sitio chino porque... no encontré un mail de contacto xD. El sitio tiene mucho código en php en malas condiciones y vulnerable, seguramente por ahí fue que lograron colarse los chicos malos.
En los próximos días tengo planeado hacer unos ejercicios de informática forense que iré juntando por la web, es una rama de la informática muy interesante. La idea es intentar resolverlos y subir los resultados al blog, como para variar un poco.
He recibido un mensaje similar el 10/12/2010, aparentemente de brasil y desde una cuenta hotmail.
ResponderEliminarcon una imagen enlazando a la misma web.
Detectado por mi Nod32 eset 4.2.64.12 con el siguiente reporte:
http://www.cwts.com.cn/en/area/shanxi/10122010.zip probablemente una variante de Win32/TrojanDownloader.Banload.PRZ Troyano conexión finalizada - puesto en Cuarentena Se ha detectado una amenaza accediendo a un sitio de Internet a través de esta aplicación: C:\Program Files\Mozilla Firefox\firefox.exe.
http://www.cwts.com.cn/en/area/shanxi/10122010.zip » ZIP » 10122010.exe probablemente una variante de Win32/TrojanDownloader.Banload.PRZ Troyano