Título: Troyano bancario Publicado por: r32 en 2 Febrero 2013, 11:29 am Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.
URL de descarga: Pedir al moderador del foro o a mi. Análisis online: Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9 VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46) Comprimido con UPX: (http://i398.photobucket.com/albums/pp69/minimal34/Extrato2_zps1e51b325.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato1_zps1576a4bf.png) Peso comprimido: 118 KB Peso descomprimido: 314 KB Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador: (http://i398.photobucket.com/albums/pp69/minimal34/Extrato6_zps876c60ed.png) Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos: (http://i398.photobucket.com/albums/pp69/minimal34/Extrato3_zpsa4ed2fc6.png) hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\ Created 0 C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows Modifed 0 C:\DOCUME~1\usuario\DATOSD~1\Microsoft Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers Crea los siguientes drivers: Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd Modifed 0 C:\Documents and Settings\usuario\Datos de programa\drivers Modifed F1800 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd Modifed 0 C:\DOCUME~1\usuario\DATOSD~1\drivers Modifed 99E00 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd Created 0 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl Modifed 12F000 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl Created 7C00 C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd Crea el siguiente archivo: Created 0 C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato8_zps3e74969f.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato4_zps4d61cdd0.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato19_zpsa6b9a519.png) Crea de nuevo otro driver: Created 0 C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd Modifed 1F C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd Capturas de Process Monitor (lectura y creación de archivos/drivers): (http://i398.photobucket.com/albums/pp69/minimal34/Extrato14_zps125d75a2.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato15_zpsf1354de6.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato16_zps4d5bb01c.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato17_zps6d149e6a.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato18_zps7f68ef13.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato20_zps5eaccaed.png) Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos): (http://i398.photobucket.com/albums/pp69/minimal34/Extrato5_zps949575f2.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato11_zps6b58a5f4.png) Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil: (http://i398.photobucket.com/albums/pp69/minimal34/Extrato9_zps920797c8.png) URL´s del proceso dumpeado "svchost": hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH= hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php hxxp://www.blackgreenfoods.com/plugins/system/error.php hxxp://www.bb.com.br hxxp://www.bb.com.br.pf/ hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr hxxps://aapj.bb.com.br/aapj/loginpfe.bb hxxps://aapj.bb.com.br/aapj/loginmpe.bb hxxps://aapj.bb.com.br/aapj/logingov.bb hxxps://aapj.bb.com.br/aapj/loginpfe.bb hxxp://www.santander.com.br hxxp://www.bb.com.br.com.br hxxp://www.bradesco.com.br hxxp://64.120.134.60/1.php hxxp://liviaeletro2012.com.br/animacao.gif hxxp://www.liviaeletro2012.com.br/kid/1.php hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error No he conseguido entrar al servidor ftp: xftp://bacana2012.mail.ht/ Capturas de Wireshark: (http://i398.photobucket.com/albums/pp69/minimal34/Extrato22_zpsca417c5b.png) (http://i398.photobucket.com/albums/pp69/minimal34/Extrato23_zpsa6a9cda6.png) Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear. Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s: No he subido la imagen por contener datos privados que no creo sea conveniente publicar... Mis datos de entrada publicados en la web: # Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 # # IP # 2976 # 2013-02-01 # 04:23:39 # # # Brazil<br /> 13 # # Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 # # IP # 3884 # 2013-02-01 # 10:33:43 # # # Brazil<br /> 1 # La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor. Un saludo. Título: Re: Troyano bancario Publicado por: $Edu$ en 2 Febrero 2013, 12:01 pm Buen analisis!
Título: Re: Troyano bancario Publicado por: m0sh en 2 Febrero 2013, 21:05 pm Muy interesante, excelente trabajo. Título: Re: Troyano bancario Publicado por: r32 en 4 Febrero 2013, 03:48 am Gracias $Edu$ y m0sh, ayer recibí otra muestra sin muchos cambios, si hay algo más lo colocaré en este mismo tema.
Saludos. Título: Re: Troyano bancario Publicado por: Danyfirex en 5 Febrero 2013, 16:16 pm ;-) Impecable. Gracias bonito Análisis ;-)
Título: Re: Troyano bancario Publicado por: Tryptophan en 5 Febrero 2013, 22:00 pm Muy, muy, muy buen análisis.
Título: Re: Troyano bancario Publicado por: jackgris en 6 Febrero 2013, 13:31 pm Excelente el análisis ;-) ;-) ;-) ;-)
Título: Re: Troyano bancario Publicado por: patofeo en 7 Febrero 2013, 13:00 pm Exelente trabajo!!
Título: Re: Troyano bancario Publicado por: Lion666 en 28 Febrero 2013, 22:48 pm Muy interesante, y muy buen analisis ;-)
Título: Troyano bancario Publicado por: sandallwood en 7 Marzo 2013, 03:56 am te lo has currado r32, gracias por compartirlo! un saludo! :o
Título: Re: Troyano bancario Publicado por: CloudswX en 7 Marzo 2013, 04:14 am te lo has currado r32, gracias por compartirlo! un saludo! :o Muy interesante, y muy buen analisis ;-) Exelente trabajo!! Excelente el análisis ;-) ;-) ;-) ;-) Muy, muy, muy buen análisis. ;-) Impecable. Gracias bonito Análisis ;-) Muy interesante, excelente trabajo. Dicho esto no queda nada mas que decir. ;-) ;-) ;-) Título: Re: Troyano bancario Publicado por: Vassile en 13 Marzo 2013, 12:26 pm Genial analisis, muy curioso :o
|