lunes, 19 de julio de 2010

Se mantiene el MO: "Video porno caseiro de bruno e Eliza Samudio..Download!‏"

Descargando un poco la tensión de los exámenes... acabo a revisar mi mail para ver si me encontraba con algo interesante. Para "mi sorpresa", mi contacto preferida (la que me inspiró las ultimas 3 entradas) me envió un mail. Esta vez se trata de un supuesto video en:

http://blogspot.com/video/Eliza_Samudio002.avi-0.41616

que en realidad es un link a

http://loopstkerh.h1.ru/visualizar.ph p?0.41616 (el espacio está incluido para romper el link)

Desde allí nos descarga un archivo "Visualizar.com", sisi, nombre similar a uno de los archivos de las entradas anteriores. Análisis de virustotal.com: http://www.virustotal.com/es/analisis/05dd1784fd3971e92a40a906bec457bb347e437cc380dcc48f713eeaba053804-1279559435

Probando nuestro nuevo archivo en un entorno aislado observamos:

1-Descarga del sitio: http://www.verstkerh.h1.ru/


2-Una vez descargado comienza a hacer cosas interesante. Se conecta a una base de datos, aparentemente un sqlserver y nos presenta un login de messenger para meter nuestros datos (curiosamente en portugues...):


Jamás utilicé SqlServer, pero claramente se tata de uno. Una vez establecida la conexión con el servidor de base de datos hace muchas consultas UPDATES subiendo mi información de infección y luego descarga una módica suma de mas de 1300 direcciones de email con sus respectivas contraseñas... a partir de ahora se conecta a los servidores de hotmail e intenta enviar correos.

3-Ahora se me ocurrió probar qué hace realmente esta pantalla de menssenger, que no es mas que una imagen con dos campos para ingresar. Ingresé el siguiente mail: "alhoja@nada.com" y contraseña "asdasdasd", veamos:

Lo anterior es un fragmento de la conexión que se establece con el servidor de base de datos cuando ingresamos nuestro mail y contraseña. Se puede ver como se realiza un insert de nuestros datoss de la forma "INSERT INTO msnlst (contactos) VALUES (''alhoja@nada.com,asdasdasd");" que es exáctamente el formato en el que se descargó la lista de mails anteriormente. Luego de esto, la venta fraudulenta nos avisa que pusimos mal la contraseña y lanza ahora si, el proceso original msn messenger para que no surjan sospechas.

Un proceso que queda corriendo es mstimer, que intenta obtener un login positivo para poder enviar mails desde la cuenta robada.

Es MUCHA la cantidad de archivos descargados en los directorios de temporales. Algunos archivos son las keys para la conexión con las bases de datos (autofirmadas, claramente), muchas imágenes, cookies, etc. En el disco C se depositan los siguientes archivos:

En arquivo de programas

msg.txt contiene el mensajes que se envía por email, en este caso se trata de una foto con un link a la descarga de Visualizar.com.
mstimer.exe y csrrs.exe son los encargados de hacer el trabajo sucio

csrrs.exe es quien se conecta con la base de datos para enviar y descargar correos e información.

mstimer.exe es el que realiza la autenticación contra hotmail para enviar los correos.

El método de subsistencia parece ser dos entradas al registro, una para cada uno de los dos ejecutables anteriores.

[HKEY_USERS\S-1-5-21-527237240-1958367476-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Winnet"="C:\\Arquivo de programas\\csrrs.exe"
"Msnnet"="C:\\Arquivo de programas\\mstimer.exe"

COMPLETAMENTE recomendable eliminarlas, junto con TODO el directorio "Arquivo de programas", notese... "arQUIVO de programas", siempre se trata de malware diseñado manteniendo como objetivo primario a brasil. También es recomendable elimiar TODO el contenido temporal del browser y pasar el antivirus (si, el que actualizas todos los días :P).

Voy a intentar... si el tiempo y la cabeza me lo permiten investigar un poco mas sobre los archivos descargados.

2 comentarios: