Test Foro de elhacker.net SMF 2.1

Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.

URL de descarga: Pedir al moderador del foro o a mi.

Análisis online:

Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9

VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46)

Comprimido con UPX:

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato2_zps1e51b325.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato1_zps1576a4bf.png)

Peso comprimido: 118 KB
Peso descomprimido: 314 KB

Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador:

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato6_zps876c60ed.png)

Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos:

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato3_zpsa4ed2fc6.png)

hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf

Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\

 Created   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows   
 Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft   
 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers

Crea los siguientes drivers:

 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
 Modifed   0   C:\Documents and Settings\usuario\Datos de programa\drivers   
 Modifed   F1800   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
 Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\drivers   
 Modifed   99E00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
 Modifed   12F000   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
 Created   7C00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd

Crea el siguiente archivo:

 Created   0   C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato8_zps3e74969f.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato4_zps4d61cdd0.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato19_zpsa6b9a519.png)

Crea de nuevo otro driver:

 Created   0   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   
 Modifed   1F   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   

Capturas de Process Monitor (lectura y creación de archivos/drivers):

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato14_zps125d75a2.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato15_zpsf1354de6.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato16_zps4d5bb01c.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato17_zps6d149e6a.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato18_zps7f68ef13.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato20_zps5eaccaed.png)

Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos):

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato5_zps949575f2.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato11_zps6b58a5f4.png)

Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil:

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato9_zps920797c8.png)

URL´s del proceso dumpeado "svchost":

hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp
hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa
hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php
hxxp://www.blackgreenfoods.com/plugins/system/error.php
hxxp://www.bb.com.br
hxxp://www.bb.com.br.pf/
hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxps://aapj.bb.com.br/aapj/loginmpe.bb
hxxps://aapj.bb.com.br/aapj/logingov.bb
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxp://www.santander.com.br
hxxp://www.bb.com.br.com.br
hxxp://www.bradesco.com.br
hxxp://64.120.134.60/1.php

hxxp://liviaeletro2012.com.br/animacao.gif
hxxp://www.liviaeletro2012.com.br/kid/1.php
hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error

No he conseguido entrar al servidor ftp:
xftp://bacana2012.mail.ht/

Capturas de Wireshark:

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato22_zpsca417c5b.png)

(http://i398.photobucket.com/albums/pp69/minimal34/Extrato23_zpsa6a9cda6.png)


Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear.

Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s:

No he subido la imagen por contener datos privados que no creo sea conveniente publicar...

Mis datos de entrada publicados en la web:

# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 2976 # 2013-02-01  #  04:23:39 #  #  # Brazil<br />
13 #
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 3884 # 2013-02-01  #  10:33:43 #  #  # Brazil<br />
1 #

La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor.

Un saludo.

Buen analisis!

Muy interesante, excelente trabajo.

Gracias $Edu$ y m0sh, ayer recibí otra muestra sin muchos cambios, si hay algo más lo colocaré en este mismo tema.

Saludos.

 ;-) Impecable. Gracias bonito Análisis   ;-)

Muy, muy, muy buen análisis.

Excelente el análisis  ;-) ;-) ;-) ;-)

Exelente trabajo!!

Muy interesante, y muy buen analisis  ;-)

te lo has currado r32, gracias por compartirlo! un saludo!  :o

Cita de: sandallwood en  7 Marzo 2013, 03:56 AM
te lo has currado r32, gracias por compartirlo! un saludo!  :o

Cita de: Lion666 en 28 Febrero 2013, 22:48 PM
Muy interesante, y muy buen analisis  ;-)

Cita de: patofeo en  7 Febrero 2013, 13:00 PM
Exelente trabajo!!

Cita de: jackgris en  6 Febrero 2013, 13:31 PM
Excelente el análisis  ;-) ;-) ;-) ;-)

Cita de: Tryptophan en  5 Febrero 2013, 22:00 PM
Muy, muy, muy buen análisis.

Cita de: Danyfirex en  5 Febrero 2013, 16:16 PM
;-) Impecable. Gracias bonito Análisis   ;-)

Cita de: m0sh en  2 Febrero 2013, 21:05 PM
Muy interesante, excelente trabajo.

Dicho esto no queda nada mas que decir.    ;-)    ;-)      ;-)

Genial analisis, muy curioso  :o