Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 7 de mayo de 2007

TROYANO. NUEVA VERSION DE IE 7 BETA
Hoy me encontré en mi correo, nuevamente, con una versión Beta del Internet Explorer. El correo es enviado por spam masivamente y contiene una imagen haciendo alusión a una nueva version beta del explorador de Microsoft.
El correo falsea la dirección de origen para hacer creer al usuario que proviene de admin@microsoft.com:
Si verificamos la cabecera del correo es fácil verificar que en realidad el correo proviene de un servidor ruso:
Si observamos el código fuente del correo verificamos que la imagen mencionada se encuentra alojada en un servidor ajeno a Microsoft por supuesto y ubicado en una empresa de viajes que seguramente aún no sabe que sus servidores sirven de hosting de esta amenaza:
También verificamos que al hacer clic sobre la imagen se nos solicita deascargar un archivo ejecutable "update.exe" alojado en el mismo servidor que la imagen:

Si descargamos el ejecutable y lo verificamos por codigo dañino en VirusTotal podemos verificar que en realidad se trata de un troyano encargado de descargar otros malware. Estos programas reciben el nombre de downloaders.
Si analizamos (sin demasidos detalles) el código podemos ver que en el mismo se hace referencia a otro sitio ruso para descargar un nuevo ejecutable "proba.exe":
También se descarga un nuevo troyano "0.exe" y un "/HVyiFiFofYdYIdYIDy/update.exe". Este último nombre se encuentra ofuscado en su código fuente:
Este último se copia a sí mismo al perfil del usuario como "winlogon.exe" y se agrega automáticamente a la clave RUN del registro para asegurar su arranque la proxima vez que se inicie el sistema:
También descargan y ejecutan los archivos "sys.bat" y "p2hhr.bat" que se encargan de borrar las "huellas":
Una vez activo el programa no permite finalizar el proceso dando un error como se ve a continuación:
También hay que notar que el proceso recibe el nombre del otro "winlogon" original del sistema. Para identificarlos sólo hay que ver el usuario que lo ha ejecutado.

Me queda averiguar cual es el objetivo de este último que no debe ser otro que el robo de contraseñas o clic automáticos. Se los debo para la próxima.

cfb

Ver más