Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.
URL de descarga: Pedir al moderador del foro o a mi.
Análisis online:
Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9
VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46)
Comprimido con UPX:
Peso comprimido: 118 KB
Peso descomprimido: 314 KB
Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador:
Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos:
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf
Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\
Created 0 C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows
Modifed 0 C:\DOCUME~1\usuario\DATOSD~1\Microsoft
Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers
Crea los siguientes drivers:
Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd
Modifed 0 C:\Documents and Settings\usuario\Datos de programa\drivers
Modifed F1800 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd
Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd
Modifed 0 C:\DOCUME~1\usuario\DATOSD~1\drivers
Modifed 99E00 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd
Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl
Modifed 12F000 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl
Created 7C00 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd
Crea el siguiente archivo:
Created 0 C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB)
Crea de nuevo otro driver:
Created 0 C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd
Modifed 1F C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd
Capturas de Process Monitor (lectura y creación de archivos/drivers):
Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos):
Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil:
URL´s del proceso dumpeado "svchost":
hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp
hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa
hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php
hxxp://www.blackgreenfoods.com/plugins/system/error.php
hxxp://www.bb.com.br
hxxp://www.bb.com.br.pf/
hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxps://aapj.bb.com.br/aapj/loginmpe.bb
hxxps://aapj.bb.com.br/aapj/logingov.bb
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxp://www.santander.com.br
hxxp://www.bb.com.br.com.br
hxxp://www.bradesco.com.br
hxxp://64.120.134.60/1.php
hxxp://liviaeletro2012.com.br/animacao.gif
hxxp://www.liviaeletro2012.com.br/kid/1.php
hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error
No he conseguido entrar al servidor ftp:
xftp://bacana2012.mail.ht/
Capturas de Wireshark:
Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear.
Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s:
No he subido la imagen por contener datos privados que no creo sea conveniente publicar...
Mis datos de entrada publicados en la web:
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 # # IP # 2976 # 2013-02-01 # 04:23:39 # # # Brazil<br />
13 #
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 # # IP # 3884 # 2013-02-01 # 10:33:43 # # # Brazil<br />
1 #
La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor.
Un saludo.