De una vez por todas estos chicos realizaron cambios interesantes, respecto a las versiones anteriores. Todo indica que centurionet2001.com, es un host comprometido por los chicos malos, o nunca fue concebido con buenos fines :P.
Si presionamos el link seremos redireccionados de la siguiente manera:
GET /files/Fotos-IML-matogrosso.pps?0.73642 HTTP/1.1
Host: centurionet2001.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
HTTP/1.1 302 Moved Temporarily
Date: Mon, 23 Aug 2010 23:13:19 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_perl/2.0.4 Perl/v5.8.8
X-Powered-By: PHP/5.2.9
Location: http://hostgaitor.narod.ru/materia.htm
Content-Length: 0
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html
De nuevo dominios .ru ... hostigaitor.narod.ru/materia.htm hospeda un sitio que se presenta de la siguiente manera.
Similar al sitio de adobe cierto? jajajaaj, no cabe duda. Además nos invita a instalar Adobe Flash Player version 10.1.6 (supuestamente) de Adobe System y hospedad en hostigator.narod.ru.
Pidiendo un poco mas de información a firefox vemos que el certificado con que fue firmada la aplicación:
- Expiró en 2009 (Validity Validity: [From: Sat Nov 08 18:25:37 ARST 2008,
To: Fri Feb 06 18:25:37 ARST 2009] ). - Fue generado por Adobe System@ para Adobe System@. Lo cual despierta sospechas a firefox.
Primero descargamos el archivo a instalar para comprobarlo con virustotal a ver que nos dice. El archivo en cuestión se hospeda en: http://realamizades.com/system/FLASH_PLAYER10.0.40.5.ex e.
Todo indica que este es el primer reporte que recibe virustotal de nuestro amigo infeccioso.
14 de 40 antivirus lo detectan como una amenaza, para ver el reporte total click aca -> http://www.virustotal.com/file-scan/compact.html?id=c116fc4d1aad19121d484c07ebad0d49cdc4e01a5778efc41e450bfe789bb803-1282606951#
Análisis de anubis: http://anubis.iseclab.org/?action=result&task_id=103db40d587163ab4cdfd8aaba20e6896&format=html . El reporte de anubis nos indica con precisión las actividades acometidas por nuestro .exe en el sistema.
Una de las primeras actividades es descargar la siguiente "imagen":
Se puede observar el sospechoso envión de una imagen en formato png, la cadena "This program must be run under win32" nos deja mas que claro que no se trata de una imagen en lo mas mínimo. Poniendo el link directamente en el navegador, este nos indica que la imagen está corrupta y no puede mostrarse. Para saber su verdadera identidad podemos utilizar por ejemplo el comando file (en linux) de la siguiente manera:
juan@moon:~$ wget http://lajeado2010.tv/log/itens_img01.png
--2010-08-23 21:17:52-- http://lajeado2010.tv/log/itens_img01.png
Resolviendo lajeado2010.tv... 189.38.80.195
Conectando a lajeado2010.tv|189.38.80.195|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 116992 (114K) [image/png]
Guardando a: «itens_img01.png.1»
100%[======================================>] 116.992 37,0K/s en 3,1s
2010-08-23 21:18:01 (37,0 KB/s) - «itens_img01.png.1» guardado [116992/116992]
juan@moon:~$ file itens_img01.png
itens_img01.png: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
juan@moon:~$
Ya no cabe duda de que no se trata de un png xD, sino de un archivo ejecutable de windows. Aca el análisis de virustotal de itens_img01.png http://www.virustotal.com/file-scan/report.html?id=f911b9f4a1801f480151d75466da7806d1efb2e842fffecff625aec1ab4fea10-1282609386.
No hay comentarios:
Publicar un comentario