martes, 30 de abril de 2013

 Troyano PICEBOT: Ataca de nuevo!

Tal como comente en otra oportunidad, una nueva botnet esta en pleno desarrollo y expansión  se trata de PiceBot, un sencillo pero efectivo troyano que realiza local pharming.

Aquí una nueva muestra.


Falsa postal en donde se intenta engañar a los desprevenidos.






Redireccion al sitio de descarga de la amenaza.


Index List del sitio.



El .php verifica el user-agent para validar la descarga.




En este caso no se realiza la descarga y se linkea a gusanito.com









Log de descarga de la amenaza, en casos anteriores este log no existía.







Links:



Icono del malware


Análisis en V.T. con un indice muy bajo de detecciones.






Strings Interesantes en el Malware:


00407BAE   ASCII "Archivo",0
00407BCC   ASCII "Alternative",0
00407BF2   ASCII "DataString",0
00407C17   ASCII "Info",0
00407C20   ASCII "PiceBOT v.1.5",0
00407C4F   ASCII "MS Sans Serif"
00407F5E   ASCII "VB6ES.DLL",0
00407FD0   ASCII "NetFord4a",0

00409228   ASCII "Kernel32",0
00409234   DD 9999.00409228                          ASCII "Kernel32"
00409238   DD 9999.00409040                          ASCII "WriteProfileSectionA"
0040926C   ASCII "wininet.dll",0
0040927C   ASCII "InternetOpenA",0
0040928C   DD 9999.0040926C                          ASCII "wininet.dll"
00409290   DD 9999.0040927C                          ASCII "InternetOpenA"
004092C4   ASCII "InternetOpenUrlA"
004092D4   ASCII 0
004092D8   DD 9999.0040926C                          ASCII "wininet.dll"
004092DC   DD 9999.004092C4                          ASCII "InternetOpenUrlA"
00409310   ASCII "InternetReadFile"
00409320   ASCII 0
00409324   DD 9999.0040926C                          ASCII "wininet.dll"
00409328   DD 9999.00409310                          ASCII "InternetReadFile"
0040935C   ASCII "InternetCloseHan"
0040936C   ASCII "dle",0
00409370   DD 9999.0040926C                          ASCII "wininet.dll"
00409374   DD 9999.0040935C                          ASCII "InternetCloseHandle"

0040A7B1   MOV DWORD PTR SS:[EBP-120],9999.00408FC8  UNICODE "687474703A2F2F6C616E2D7072656D696F732E696E2F61646D696E2F" 

http://lan-premios.in/admin/

0040A821   MOV DWORD PTR SS:[EBP-120],9999.0040905C  UNICODE "687474703A2F2F7061706170696368756C612E696E2F61646D696E2F"

http://lan-premios.in/admin/

0040AEE0   MOV DWORD PTR SS:[EBP-44],9999.0040914C   UNICODE "433A5C57494E444F57535C53797374656D33325C647269766572735C6574635C686F737473" 

C:\WINDOWS\System32\drivers\etc\hosts

0040B269   MOV DWORD PTR SS:[EBP-68],9999.004091F0   UNICODE "746F6D612E7068703F4F733D"

 toma.php?Os= 

0040B376   MOV DWORD PTR SS:[EBP-68],9999.004093A8   UNICODE 

"64622F75726C5F6465732E747874" db/url_des.txt



0040B6C7   MOV EBX,9999.00409408                     UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865" 

C:\WINDOWS\system32\Winter.exe

0040B7A8   MOV DWORD PTR SS:[EBP-44],9999.00409488   UNICODE "696578706C6F7265722E657865" 

iexplorer.exe

0040B7F7   MOV DWORD PTR SS:[EBP-44],9999.004094C4   UNICODE "433A5C57494E444F57535C696578706C6F7265722E657865"

 C:\WINDOWS\iexplorer.exe

0040B903   MOV EBX,9999.00409408                     UNICODE "433A5C57494E444F57535C73797374656D33325C57696E7465722E657865"

C:\WINDOWS\system32\Winter.exe








Panel del C&C 
http://lan-premios.in/admin/panel.php



Conectándonos a la siguiente URL nos informara el servidor del pharming

http://lan-premios.in/admin/toma.php?Os=



LOCAL PHARMING







Es todo por el momento....



@Dkavalanche 2013


viernes, 5 de abril de 2013

Falso Mensaje de Skype -  BitCoin Mining.


Luego de la desaparición de msn y su fusion con Skype los Cyber-Criminales le apuntan con sus cañones para engañar a los usuarios e infectarlos con distintas cargas malignas. En el caso de hoy convierte la Pc infectada en un Bitcoin Miner, rindiendo frutos hacia los criminales.

Falso mensaje recibido en Skype.






La imagen original del falso mensaje y nota relacionada la pueden ver en el sitio de Segu-info
que amablemente me acercaron las muestras para analizarlas.


Icono del malware


Analisis en V.T. con un indice bajo de detecciones.


SHA256:411e93206a7750c8df25730349bf9756ddba52c1bc780eaac4bba2b3872bc037
File name:xxxxxxo.exe
Detection ratio:6 / 46




El troyano se encuentra ofuscado con un Crypter en C++.

Aquí una parte del Dump.







Analisis en VT del Dump: (DUMP.skype-img-04.exe)

https://www.virustotal.com/en/file/d476e920a736b0c88b9f1d394b2e6e083128f27f952d73f63fb5614cc3cb9927/analysis/1365122425/



Se trata de un IRCBOT.


Infección de Unidades:


004107F4   PUSH DUMP_sky.00413F10                    ASCII "Infected Drive: %s"
004107F9   PUSH DUMP_sky.00413F24                    ASCII "USB"
004109B7   PUSH DUMP_sky.00413F28                    ASCII "%c: "


persistencia en el sistema :

0040E97E   PUSH DUMP_sky.00413C40                    UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"



El BitCoin Mining en acción....






Infeccion de unidad compartida.








Aquí se puede observar el trafico de red y la conexión remota hacia el CnC.








IP: 212.227.83.111:9000




Aquí se indica descargar una amenaza desde Hotfile.com










Icono de la nueva amenaza descargada por el IRCBOT.







También se encuentra ofuscado con Crypter C++ Runpe.


Analsis en VT de los distintos Dumps que obtuve.


File: Dump.dll

https://www.virustotal.com/en/file/5bfded4d65a9e8904f9c804a6a311b768ec301c583ff1efe973da389b01ed741/analysis/1365128967/

Part of Kelihos.F

File: Dump.exe

https://www.virustotal.com/en/file/8a7e716bd48b6cf41ab49702959f0b3d86880d0a3ab2063700d9acde44985bda/analysis/1365130457/


Type: Kelihos.F


Password Stealer/Spamer


005C4810: '\SmartFTP\Client 2.0\Favorites\',0000h
005C4850: '\SmartFTP\Favorites.dat',0000h
005C4880: '\SmartFTP\History.dat',0000h
005C48B0: '\SmartFTP\Client 2.0\Favorites\Favorites.dat',0000h
005C490C: 'CHistoryItem',0

005C53F8: 'FTPServers.Servers1_FTPServers',0
005C5418: 'Count',0
005C5420: '_PassWord',0
005C542C: '_HostName',0
005C5438: '_UserName',0
005C5444: '_HostDirName',0
005C5454: '_Port',0
005C545C: 'wiseftpsrvs.bin',0
005C546C: 'wiseftpsrvs.ini',0
005C547C: 'wiseftp.ini',0
005C5488: '\AceBIT\',0
005C5498: 'Software\AceBIT',0
005C54A8: 'SOFTWARE\Classes\TypeLib\{CB1F2C0F-8094-4AAC-BCF5-41A64E27F777}',0
005C54E8: 'SOFTWARE\Classes\TypeLib\{9EA55529-E122-4757-BC79-E4825F80732C}',0
005C5528: '\Ipswitch\WS_FTP\Sites',0000h
005C5558: '\Ipswitch\WS_FTP Home\Sites',0000h
005C5590: '\win.ini',0000h
005C55A4: '\Ipswitch\WS_FTP',0000h
005C55D0: 'DEFDIR',0000h
005C5680: 'Software\Ghisler\Total Commander',0
005C56A4: 'Software\Ghisler\Windows Commander',0
005C5AC8: 'directory',0
005C5AD4: 'firewall',0
005C5AE0: 'method',0
005C5AE8: '\Windows Commander',0
005C5AFC: '\Total Commander',0
005C5B10: '\wcx_ftp.ini',0
005C5B20: '\GHISLER',0
005C5B2C: 'InstallDir',0
005C5B38: 'FtpIniName',0
005C5B44: 'it was too big file, size = ',0
005C5B64: 'C:\Documents and Settings',0
005C5B80: '\Application Data\Bitcoin\wallet.dat',0
005C5BA8: 'C:\Users',0
005C5BB4: '\AppData\Roaming\Bitcoin\wallet.dat',0
005EE128: 'Hora est. de Sudamerica E.',0
005EE168: 'Hora est. de Sudamerica E.',0


Esta variante utiliza WinPcap para monitorear el trafico de red y robar credenciales de login de  FTP, POP3, SMTP.

Kelihos chequea la presencia de varios programas para el robo de datos sensibles.

* BitCoin wallet.dat 

* 32-bit FTP 
 * BitKinex 
 * Bullet Proof FTP 
 * BulletProof FTP Client 
 * Classic FTP 
 * Core FTP 
 * CoreFTP 
 * CuteFTP 
 * Directory Opus 
 * FAR Manager 
 * FFFTP 
 * FTP Commander 
 * FTP Commander Deluxe 
 * FTP Commander Pro 
 * FTP Control 
 * FTP Explorer 
 * FTP Navigator 
 * FTPRush 
 * FileZilla 
 * FlashFXP 
 * Fling 
 * Fling FTP 
 * Frigate3 
 * Frigate3 FTP 
 * LeapFTP 
 * NetDrive 
 * SecureFX 
 * SmartFTP 
 * SoftX FTP Client 
 * Sota FFFTP 
 * Total Commander 
 * TurboFTP 
 * UltraFXP 
 * WS_FTP 
 * WebDrive 
 * WebSitePublisher 
 * WinSCP



Analisis dinámico, en el cual podemos observar el spam hacia varias cuentas de correo, enviando un link a un sitio con un Javascript malicioso.






Link enviado: 

hxxp://autopart.com.vn/selection.html


Analisis con Malzilla, se puede observar el Javascript.



Revisamos el código y lo arreglamos para que nos entregue el URL a cargar en el iframe.





hxxp://ytliywax.ru/count14.php


http://urlquery.net/report.php?id=1830634

Accediendo a este URL nos redirige a otro sitio.



Aquí podemos ver el Exploit, que intentara explotar alguna vulnerabilidad en nuestro sistema para descargarnos una amenaza.




El código fuente del exploit corresponde a Neutrino Exploit Kit.

Info sobre Neutrino.

http://malware.dontneedcoffee.com/2013/03/hello-neutrino-just-one-more-exploit-kit.html
http://blog.trendmicro.es/neutrino/


----------------------------------------------------------------------------------------------------------------------

Por lo que pude observar en una maquina previamente infectada, es la instalación de un Downloader que descarga el Kelihos, supongo, que es otro método de propagación utilizado (en vez del IRCBOT).



DOWNLOADER






Strings encontrados en el Downloader, previamente realizando un dump en Ollydbg













00401643 PUSH DUMP-Dow.0040211C ASCII "\Temp\temp"

00401685 MOV DWORD PTR SS:,DUMP-Dow.00402128 ASCII ".exe"
004017A0 PUSH EBP (Initial CPU selection)
00401813 MOV ESI,DUMP-Dow.00402130 ASCII "/boris01.exe"



Se descarga el archivo boris01.exe que se encuentra en cualquiera de estos dos sitios


0040182A PUSH DUMP-Dow.00402140 ASCII "butlesuh.ru"
00401840 PUSH DUMP-Dow.0040214C ASCII "wylovpuc.ru"










Persistencia en el sistema :







Análisis en V.T. de la amenaza descargada.






Realizando un Dump pude observar que se trata del mismo troyano Kelihos.


https://www.virustotal.com/en/file/567d20cf7f56b7ac3e994640c43fb60d817d7c0eb8eb98adbaca064836ee34ce/analysis/1365208469/







Muestras + dumps + scripts  descarga desde aqui.



Password = infected




Mas data sobre este tema,  pueden ver la excelente nota de Dmitry Bestuzhev el sitio de Kaspersky Labs 

Mas menciones sobre este tema:

http://blog.segu-info.com.ar/2013/04/mensajes-de-contactos-de-skype.html
http://www.theregister.co.uk/2013/04/05/bitcoin_mining_malware_appears/
http://www.securelist.com/en/blog/208194206/An_avalanche_in_Skype

Muchas gracias a Raul de Segu-Info por enviarme los valiosos binarios.


Es todo por el momento


@Dkavalanche   2013


#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...