Troyano bancario

Iniciado por r32, 2 Febrero 2013, 11:29 AM

0 Miembros y 1 Visitante están viendo este tema.

r32

Este archivo me llegó a través del msn, de un "chica brasileña" que bien está infectada o intenta infectar. Nunca he hablado con ella pero me llega cada cierto tiempo.

URL de descarga: Pedir al moderador del foro o a mi.

Análisis online:

Anubis: http://anubis.iseclab.org/?action=result&task_id=13ce18b22910d4e84fd6779888568e7e9

VirusTotal: https://www.virustotal.com/file/82d34b76ed08587d62e78088f03e60ae5b868389f0d164c86a25b6fd23b8402a/analysis/1359671924/ (9/46)

Comprimido con UPX:






Peso comprimido: 118 KB
Peso descomprimido: 314 KB

Se inyecta en el proceso i.explore.exe y crea el proceso svchost.exe con la cuenta de admnistrador:




Desde el mismo servidor con otra cuenta de usuario descarga los siguientes archivos:



hxxps://s3-sa-east-1.amazonaws.com/manolomaias/jana.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/carla.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/mara.swf
hxxps://s3-sa-east-1.amazonaws.com/manolomaias/adriana.swf

Crea las carpetas Windows\Drivers en la ruta: C:\Documents and Settings\usuario\Datos de programa\Microsoft\

 Created   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft\Windows   
 Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\Microsoft   
 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers

Crea los siguientes drivers:

 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
 Modifed   0   C:\Documents and Settings\usuario\Datos de programa\drivers   
 Modifed   F1800   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl8194.vxd   
 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
 Modifed   0   C:\DOCUME~1\usuario\DATOSD~1\drivers   
 Modifed   99E00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl745G.vxd   
 Created   0   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
 Modifed   12F000   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl2108.rtl   
 Created   7C00   C:\DOCUME~1\usuario\DATOSD~1\drivers\rtl3264.vxd

Crea el siguiente archivo:

 Created   0   C:\Documents and Settings\usuario\Datos de programa\Microsoft\netA8335EC6security.cpl (100 MB)







Crea de nuevo otro driver:

 Created   0   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   
 Modifed   1F   C:\Documents and Settings\usuario\Datos de programa\drivers\1ctrl2580.vxd   

Capturas de Process Monitor (lectura y creación de archivos/drivers):














Los archivos descargados inicialmente, aparentemente .swf simplemente son renombrados (los hash de archivo son idénticos):





Verifica cada poco tiempo la conexión a Internet desde Goolgle Brasil:



URL´s del proceso dumpeado "svchost":


hxxps://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=
hxxps://www2.bancobrasil.com.br/aapf/relacionamento/mcib.jsp
hxxps://internetbanking.caixa.gov.br/SIIBC/altera_endereco.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/saldo.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/tipo_doc.processa
hxxps://internetbanking.caixa.gov.br/SIIBC/index.processa
hxxps://www.citibank.com.br/BRGCB/JSO/signon/uname/HomePage.do
hxxps://www2.bancobrasil.com.br/aapf/includesSRP/processaVersionamentoAAPF.jsp?continuarVersaoAtual=sim
hxxp://www.it-eksperten.no/components/com_joomlawatch/log/error.php
hxxp://www.blackgreenfoods.com/plugins/system/error.php
hxxp://www.bb.com.br
hxxp://www.bb.com.br.pf/
hxxps://aapj.bb.com.br/aapj/login.br/SIIBC/index.pr
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxps://aapj.bb.com.br/aapj/loginmpe.bb
hxxps://aapj.bb.com.br/aapj/logingov.bb
hxxps://aapj.bb.com.br/aapj/loginpfe.bb
hxxp://www.santander.com.br
hxxp://www.bb.com.br.com.br
hxxp://www.bradesco.com.br
hxxp://64.120.134.60/1.php

hxxp://liviaeletro2012.com.br/animacao.gif
hxxp://www.liviaeletro2012.com.br/kid/1.php
hxxp://bacana2012.mail.ht/Kid2012/acesso.php./error

No he conseguido entrar al servidor ftp:
xftp://bacana2012.mail.ht/

Capturas de Wireshark:






Los procesos creados pueden ser eliminados sin problemas y no se vuelven a crear.

Aquí una de las web´s del log de Wireshark, donde quedan registrados y publicados todos los datos de los pc´s:

No he subido la imagen por contener datos privados que no creo sea conveniente publicar...

Mis datos de entrada publicados en la web:

# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 2976 # 2013-02-01  #  04:23:39 #  #  # Brazil<br />
13 #
# Windows XP # 8.0.6001.18702 # USUARIO # A8335EC6 #  # IP # 3884 # 2013-02-01  #  10:33:43 #  #  # Brazil<br />
1 #


La conclusión que he sacado es que se inyecta en el proceso i.explore.exe ayudado por el svchost.exe falso que contiene las url. Al cargar los drivers, se asegura que cada vez que obtenga datos del usuario relacionados con datos bancarios serán enviados a algun servidor.

Un saludo.

$Edu$


m0sh


Muy interesante, excelente trabajo.
www.NYXBONE.com
Twiter: @nyxbone

r32

Gracias $Edu$ y m0sh, ayer recibí otra muestra sin muchos cambios, si hay algo más lo colocaré en este mismo tema.

Saludos.

Danyfirex

 ;-) Impecable. Gracias bonito Análisis   ;-)

Tryptophan

Muy, muy, muy buen análisis.

jackgris

Excelente el análisis  ;-) ;-) ;-) ;-)

patofeo

http://www.competenciaperfecta.com CompetenciaPerfecta.com - Tu nueva comunidad de compra y venta por internet

Lion666

Muy interesante, y muy buen analisis  ;-)
Si vis pacem para bellum

sandallwood

te lo has currado r32, gracias por compartirlo! un saludo!  :o