elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  De copas con Qbot
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: De copas con Qbot  (Leído 14,094 veces)
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
De copas con Qbot
« en: 1 Diciembre 2010, 04:17 am »

Muy buenas!

No hace mucho postee sobre este mismo tema. Poco tiempo después solicité a un Administrador que borrara el post. Los motivos no importan. Ahora, por otros motivos, que tampoco importan, vuelvo a comentarlo. A ver si alguien me aclara ciertas ideas. Va a ser un poquito largo... A los interesados, id ocupando vuestras localidades, la función empieza ya....

Antes de nada, GRACIAS a Novlucker por indicarme en el anterior post -borrado- datos que han resultado de vital importancia para seguir investigando. Sin su ayuda, no me hubiera dado cuenta ni de la mitad de las cuestiones que expondré a continuación.

Os pongo en situación:

  • Dominio de unos 100 ordenadores -o más- infectados por el troyano Qbot / QaKbot.
    Fichero examinado por VirusTotal: http://www.mediafire.com/?k44b4ysibd9lo3m
  • Equipo de prueba: Windows XP SP3 con IE7 y McAfee 8.5 Sdat 6183 / W7 con IE8 con el mismo antivirus

Sí, lo sé. Ese antivirus a mí tampoco me convence. Pero... Es lo que hay.


Para empezar, a los interesados, os cuelgo las muestras 'del amigo':

http://www.mediafire.com/?r1rep0l2u6j54d2 (contraseña virus)

Conforme lo observado. El gusano -asqueroso, baboso y arrastrao- se comporta de la siguiente manera:

Citar

- Actúa como Keylogger guardando contraseñas y demás cuestiones que realice el correspondiente usuario.
Aquí encontraréis más datos. Lo único que la ruta de ejecución es diferente.

- Se acopla/inyecta a los procesos "explorer" e "iexplore".

- Impide la ejecución de las extensiones 'exe'. Indicando errores con cada aplicación que queramos iniciar. Por ejemplo el antivirus: "La aplicación o DLL <nombre aplicación>. <ruta del gusanos/nombre del gusanos> no es una imagen válida de Windows.")

- Crea la carpeta que veréis en el link en la ruta: "C:\Documents and Settings\All Users".

- En cuanto se ejecuta -archivo de nombre aleatorio que llamaremos 'gusano'-. Realiza conexiones a varios ftp y/o páginas web.

- Crea un fichero dbg.txt en 'la raíz' mostrando cómo se va comportando. Vamos, que 'el creador del amigo', parece que se ríe en nuestra cara, diciéndonos todo lo que está haciendo y cómo lo está haciendo.

- Crea una clave en HKLM\Software\Microsoft\Windows\CurrentVersion\Run con nombre 'gusano' para asegurarse la ejecución en el inicio de Windows.

- Crea una tarea para lanzarse cada 'x' tiempo de 'gusano'.

- Va creando varios archivos en la raíz. Sin atributos de oculto ni sistema. Se presupone que estos archivos son muestras de nuevos virus/troyano, puestos que son detectados por McAfee con otro nombre (Generic.dx!uwy). Además, se ha comprobado que, en ordenadores infectados durante varios días, tienen MalwareVariado. Incluso muestras de Conficker.C

- Crea copia de sí mismo en C:\Windows\temp. de 'gusano'.

- Crea carpeta de nombre 'gusano' en "c:\Documents and Settings\LocalService".

- Se propaga por la LAN mediante NetBios. Puertos 139 y 445.

Eso es lo que he podido ver. Ahora bien, después de eliminar todo lo comentado, en el siguente reinicio, al poco tiempo, vuelve a infectar la máquina. Lo cual, me plantea la siguiente cuestión. El ordenador se vuelve a infectar porque (1) No se elimina por completo Ó (2) Porque, al utilizar los puertos 139 y 445, abiertos por defecto en Windows para las conexiones de unidades compartidas e impresoras, mientras haya otros equipos infectados, podrá seguir accediendo (y reinfectando) a los ordenadores que han sido limpiados.

Al parecer, utiliza el mismo método que en su momento Conficker. Vulnerabilidad que, en principio, fue solucionada por Microsoft con el correspondiente parche. O quizá no se trate de ninguna vulnerabildad. Quizá, sencillamente, como se ha comentado utiliza esos puertos que, por defecto, están abiertos y, en un dominio, con tantos ordenadores es inviable cerrarlos.

CONEXIONES

Vistas mediante el mencionado fichero dbg.txt que crea en la raíz.

FTPs a los que se conecta para subir los datos almacenados de los usuarios.

Citar
[ftphost_1] _var_value=[72.29.90.67]

[ftphost_2] _var_value=[ftp.flwest.com]

[ftphost_3] _var_value=[ftp.maybournehotelprojects.co.uk]

[ftphost_4] _var_value=[66.219.30.219]

[ftphost_5] _var_value=[72.29.92.27]

[ftphost_6] _var_value=[174.122.112.234]

[ftphost_7] _var_value=[74.55.65.186]


Conexiones que realiza al ejecutarse.

Supongo que, tal y como se ha dicho anteriormente, para descargarse muestras de más malware. Comprobadas mediante TcpView:

Citar
p35.ich-9.com (174.122.112.234) (Estados Unidos)
pass51.dizinc.com (72.29.92.27) (Estados Unidos)
p35.ich-9.com (174.122.112.234) (Estados Unidos)
john316.hostkansas.com (74.55.65.186) (Estados Unidos)
212.117.174.170.server.lu (Luxemburgo).
91.213.8.192 (Ucrania).
Deploy.akamaitechnologies.com
cv4.compuvisionenlinea.com
6.1c.78ae.static.theplanet.com

CUESTIONES VISTAS EN ARCHIVO dbg.txt

Ruta donde se instala. Inyectándose en el proceso "iexplore"

Citar
qbot: DllMain(): c:\documents and settings\all users\xeay\xeay.dll is loaded by proccess [c:\archivos de programa\internet explorer\iexplore.exe])

A ver si alguien lo interpreta...

Citar
qbot: load_conf() started

qbot: load_conf() do lock conf file

qbot: CreateMutex("xea.dll_gl") success hMutex=0000060C!

qbot: load_conf() do sxor2_open()

qbot: sxor2_open(): crypt_buf_len=1138 rlen: 1138

qbot: sxor2_decrypt_full(): format is good ver=2

qbot: sxor2_decrypt_full(): ver=2 do sxor_decrypt()

qbot: ===>>> load_conf(): sxor2_parse_strings() done: ctx->str_i=26

qbot: expand_vars() ok: 10 -> 10 bytes

qbot: SessSpyPostThreadProc() started

qbot: ===>>> Created thread id=85c [sesspostthread]

qbot: SessSpyPipeReadMessage(): Waiting for connections pipe_name=[\\.\pipe\xeay]...

qbot: force_exec_pid(): Remote thread finished ok. pid=0

qbot: force_exec_pid(""c:\documents and settings\all users\xeay\xeaypv.exe" "c:\documents and settings\all users\xeay\xeaygi.dll"") success: pid=3624

qbot: force_exec_pid() returned 0

qbot: ===>>> Created thread id=970 [swatcher]

qbot: ===>>> Created thread id=c84 [flasher]

qbot: DllMain(): DLL_THREAD_ATTACH

qbot: DllMain(): DLL_THREAD_ATTACH

qbot: ===>>> &call_stack_marker=03F7FF94

qbot: ===>>> cValues=8

qbot: ===>>> set_var(): var_name=[irc_pass] _var_value=[Zdnimast212424252627] var_value=[Zdnimast212424252627]

Renombrando a nuestro amigo...

Citar
qbot: ===>>> set_var(): var_name=[alias__qbotinj.exe] _var_value=[xeay.exe] var_value=[xeay.exe]

qbot: ===>>> set_var(): var_name=[alias__qbot.dll] _var_value=[xeay.dll] var_value=[xeay.dll]

qbot: ===>>> set_var(): var_name=[alias__qbotnti.exe] _var_value=[xeaypv.exe] var_value=[xeaypv.exe]


qbot: ===>>> set_var(): var_name=[alias_seclog.txt] _var_value=[xe.dll] var_value=[xe.dll]


qbot: ===>>> set_var(): var_name=[alias_si.txt] _var_value=[vbywvu5] var_value=[vbywvu5]


qbot: ===>>> set_var(): var_name=[alias_ps_dump] _var_value=[pufi] var_value=[pufi]

qbot: ===>>> set_var(): var_name=[alias_qa.bin] _var_value=[nbyh9q] var_value=[nbyh9q]

Felicidades a los que hayan llegado hasta aquí...

LA DUDA como comentaba al principio, es... ¿Cómo erradicarlo?

  • Cortar NetBios es inviable.
  • McAfee, en la mayoría de ordenadores, ni lo huele
  • Eliminarlo manualmente no tiene complicación. Se matan los procesos "explorer" e "iexplore" y mediante consola se van limpiando las rutas indicadas anteriormente. Además, una vez borrada la carpeta de "AllUsers", se puede volver a cargar el proceso explorer y borrarlo fácilmente.
Si el antivirus no lo elimina, a falta de nuevos DATs y aunque se borre facilmente 'a mano' -inviable con una red tan grande-, se vuelve a propagar mediante NetBios, ¿qué más se puede hacer? Quizá cortar las conexiones hacia el exterior.

Si el Sr. Qbot no puede conectar con los ftp's para trasmitir los datos almacenados, pierde funcionalidad y se asegura la confidencialidad de los usuarios. Por otro lado, si tampoco puede conectarse a páginas desde las cuales, deduzco, se descarga más malware, tampoco podrá infectar más, si cabe, los ordenadores. Mientras... A ver si el Mr. McAfee se digna a borrarlo por completo...

Se aceptan sugerencias...

Por último, un dato curioso:


Fecha 26 Abril 2010
Citar
Symantec aseguraba en su blog: “Un aspecto poco usual de Qakbot es que, aunque su propósito es robar información asociada a los usuarios finales, también tiene éxito a la hora de comprometer los ordenadores en entornos corporativos y departamentos gubernamentales”.
Y es que Qakbot ya ha comprometido más de 1.100 ordenadores en todo el mundo, concretamente hay unos 100 ordenadores comprometidos en una red gubernamental regional de Brasil, y también ha llegado a infectar la red de la organización nacional de salud de Reino Unido. Los datos incluyen información de tarjetas de crédito, credenciales de redes sociales y correos web e historiales de búsquedas en Internet.

Por último... Encontrado en el fichero dbg.txt:
Citar
qbot: ===>>> set_var(): var_name=[cleanup] _var_value=["c:\documents and settings\all users\xeay\xeaypv.exe" xeaygi.dll remove] var_value=["c:\documents and settings\all users\xeay\xeaypv.exe" xeaygi.dll remove]

Según eso, el gusano se 'autoeliminaría'/limpiaría mediante ese comando, pero... Conforme las pruebas realizadas... Na de na.

Se aceptan opiniones. Mientras, voy a tomarme unas copitas con 'el amigo'. A ver si le emborracho, lo amordazo y lo empaqueto en cualquier cohete hacia la luna... :¬¬

Saludos.


« Última modificación: 20 Marzo 2011, 19:29 pm por Arcano. » En línea

La curiosidad es la antesala al conocimiento...
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: De copas con Qbot
« Respuesta #1 en: 1 Diciembre 2010, 14:26 pm »

Bueno, me enfoco en los métodos de propagación:
Si se supone que hay anti virus en las pcs, cuando se copie y se ejecute por netbios, el mcafee lo va a detectar.
O no?
El mcafee lo detecta en su totalidad?


En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
confused

Desconectado Desconectado

Mensajes: 62



Ver Perfil WWW
Re: De copas con Qbot
« Respuesta #2 en: 1 Diciembre 2010, 15:02 pm »

Dejando el antivirus de lado, que veo que no hace bien su trabajo..

A ver, de 100 pcs conectadas en red, no es un numero muy grande a tratar.
Por lo que pienso que de 100, cuantas estaran infectadas?, con un wireshark a la escucha, en tu maquina, podrias ver desde que puntos se intenta explotar la falla en la tuya.

No digo que no sea un trabajo 'molesto' pero tampoco aburrido.. es divertido, vas juntando las maquinas que intentan infectarte, las bajas de dominio, las desconectas de la red, eliminas el virus de la pc, y realizas una actualizacion de parches de windows correctamente.

Con eso creo que deberia bastar, tampoco es un virus demasiado complicado.
Es cuestion de aplicar parches de seguridad correctamente en el windows.
En línea

Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #3 en: 1 Diciembre 2010, 15:28 pm »

Buenas!

APOKLIPTICO...

Citar
Si se supone que hay anti virus en las pcs, cuando se copie y se ejecute por netbios, el mcafee lo va a detectar.

Ahí está uno de los principales problemas. El McAfee, la gran mayoría, ni los huele...  :¬¬

confused ...

Citar
A ver, de 100 pcs conectadas en red, no es un numero muy grande a tratar

He puesto 100 por poner un número... Como podía haber puesto 300, 400, 500, 600... Así, a ojo... 200 arriba, 200 abajo...   :silbar:

Citar
cuantas estaran infectadas?

TODAS. Incluido equipos con W7 con los parches actualizados. Incluidos Wxp con SP3 actualizados a tope...

Citar
con un wireshark a la escucha...

Con WireShark quería probar, pero para instalarlo en un ordenador y verificar si el ejecutable de "allusers", como creo, se conecta a las IPs indicadas para almacenar más malware y propagarse en mayor medida. Lo tengo pendiente...

Citar
No digo que no sea un trabajo 'molesto' pero tampoco aburrido.. (...) as juntando las maquinas que intentan infectarte, las bajas de dominio, las desconectas de la red, eliminas el virus de la pc, y realizas una actualizacion de parches de windows correctamente.(...) Es cuestion de aplicar parches de seguridad correctamente en el windows.

Digamos que algunos orenadores de la LAN no están al alcance. Sólo se pueden llegar a ellos mediante conexión remota. Por lo tanto, la opción de quitarlas del dominio, desconectarlas... Lo dicho anteriormente, no es posible.

Citar
...tampoco es un virus demasiado complicado

No, como virus/troyano/gusano no es demasiado complicado. Si entra en una ordenador personal, es fácil de eliminarlo. Ya he comentado cómo. El problema es cuando infecta una LAN entera. Por ejemplo, como en el texto que he puesto de Symantec.

El problema principal reside en lo anteriormente descrito: McAfee no lo detecta. Ya que, aunque acceda por NetBios, en cuanto entra al ordenador y se intenta propagar, debería eliminarlo... Pero NO lo hace.

La cuestión quizá sería lo siguiente: Habilitar el Firewall de Windows en los equipos para evitar las conexiones por NetBios (\\<IP>\c$). Aunque tengo mis dudas si evitaría las conexiones mediante los puertos 139 y 445...  :huh:

Una vez controlada la infección, entonces sí, desinfectar los equipos a mano o realizar un escaneo completo de McAfee en aquellos que no son accesibles. Que, con escáner completo, sí suele detectarlo...

Evitando:

(1) Que conecte con las IPs indicadas.
(2) Las conexiones a los FTP para transmitir los datos.
(3) Que se propague entre los equipos que se quedan limpios...

Debería valer...

Se agradecen las aportaciones!! Sólo os comento que el tema es complicado, principalmente, porque los ordenadores están en dominio/Lan y no es viable realizar algunas cosas: Como quitarlos de red.

Saludos!!




En línea

La curiosidad es la antesala al conocimiento...
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: De copas con Qbot
« Respuesta #4 en: 1 Diciembre 2010, 16:22 pm »

Pero, no hay ninguna chance de poner otro anti virus? Ni siquiera uno portable como clam-win?
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #5 en: 1 Diciembre 2010, 16:26 pm »

APOKLIPTICO

Por políticas de empresa... McAfee es el antivirus contratado. No hay lugar a cambio.

Desde McAfee, supuestamente, están estudiando las muestras enviadas que su aplicación 'no ve'...

Saludos!

PD: Según las muestras subidas a virustotal, hay varias que McAfee no detecta.
« Última modificación: 1 Diciembre 2010, 18:44 pm por Arcano. » En línea

La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: De copas con Qbot
« Respuesta #6 en: 1 Diciembre 2010, 17:38 pm »

Citar
- Crea una tarea para lanzarse cada 'x' tiempo de 'gusano'.

Que apunta a un archivo javascript que hace uso de Microsoft.XMLHTTP, ADODB.Stream, MSXML2.ServerXMLHTTP y WScript.Shell para descargar y ejecutar actualizaciones

Apunta dominios para bloquear ;)

  • adserv.co.in
  • up01.co.in
  • up02.co.in
  • up03.in
  • up003.com.ua

Por cierto, odio los javascript cifrados :¬¬ , lo bueno, que al ser javascript tarde o temprano terminas por encontrar las funciones que descifran las partes que no entiendes :D

Lo gracioso es que este javascript lo detectan 5/43 antivirus, y el que más acierta es el de Microsoft
:http://www.virustotal.com/file-scan/report.html?id=344b8e7c8d1ea36cfb48b0acb71488bf80f7ac1c06d16600fa689a8c769cf01e-1291220547

Saludos
« Última modificación: 1 Diciembre 2010, 17:45 pm por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #7 en: 1 Diciembre 2010, 18:04 pm »

Me encanta! :P

Oído cocina!!

Por otro lado, he comprobao que todos los dominios apuntan a la 91.213.8.192

De las primeras IP que conecta al ejecutarse... Ubicada en Ucrania.

Mmmm... Interesante...

Saludos y Gracias!!!
« Última modificación: 1 Diciembre 2010, 18:43 pm por Arcano. » En línea

La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: De copas con Qbot
« Respuesta #8 en: 1 Diciembre 2010, 18:44 pm »

Por cierto ...
http://support.clean-mx.de/clean-mx/viruses.php?ip=91.213.8.192
Y por lo que he encontrado ese servidor es fuente de vaaaaarios bichitos :silbar:

Vulnerabilidad ...
http://secunia.com/advisories/41340

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: De copas con Qbot
« Respuesta #9 en: 1 Diciembre 2010, 18:55 pm »

Lástima que cierto país donde tú resides queda algo lejos de cierto país por donde yo deambulo. De lo contrario, te invitaba a unas copichuelas. Eso sí, espero que no te importe que venga mi amigo Qbot. Últimamente me acompaña a todas partes...  :¬¬

Anda, Nov! Explícate. Muy bonitos los dos links que muestras. La verdad es que es bastante interesante. Pero podrías explicarte por el bien común de la comunidad...  :silbar:

He echado un vistazo: OK! IP que apunta a múltiples malware. ¿Algo más que añadir?¿?

En cuanto a http://secunia.com/advisories/41340. Dos cosas:

(1) Cómo has llegado hasta esa conclusión. De acuerdo, una vulnerabilidad de Adobe. Pero cómo has llegado 'hasta ahí'

(2) ¿Me estás diciendo que MIQbot se propaga a causa de este 0-day?

Anda, lo mismo que antes. Explícate. Cuando puedas, sin prisas. Sin presiones, que por mucho que quiera, no puedo irte a buscar...  ;D

Saludos!!!
« Última modificación: 1 Diciembre 2010, 22:33 pm por Arcano. » En línea

La curiosidad es la antesala al conocimiento...
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Una discoteca de Alicante regala copas por cada suspenso
Noticias
wolfbcn 0 1,631 Último mensaje 21 Junio 2013, 02:06 am
por wolfbcn
Discotecas de Mallorca ofrecen copas gratis a cambio de felaciones « 1 2 3 »
Foro Libre
Scaramanga 20 8,077 Último mensaje 20 Julio 2014, 01:30 am
por ccrunch
Qbot: ¿Mas informacion, ejemplos?
Análisis y Diseño de Malware
AlbertoBSD 0 2,627 Último mensaje 14 Abril 2016, 14:42 pm
por AlbertoBSD
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines