Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 28 de enero de 2009

Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Danmec, o Asprox, es el nombre de un troyano diseñado para reclutar máquinas zombies al tiempo que recolecta información confidencial de cada una de las víctimas que infecta.

Si bien la aparición de este troyano no es reciente, actualmente se vale de estrategias más complejas que las habitualmente utilizadas por otros códigos maliciosos, incluso por sus primeras variantes, como las técnicas Fast-Flux para evitar la detección por parte de programas de bloqueo e infectar la mayor cantidad de equipos posibles.

Actualmente, las redes Fast-Flux son explotadas masivamente y de manera activa por miles de dominios de origen Ruso, activando nuevamente botnets como la creada por Danmec.

google-analitycs.lijg .ru
fmkopswuzhj .biz
fnygfr .com

fvwugekf .info

fwkbt .info

gbrpn .org

gbxpxugx .org

ghtileh .biz

gnyluuxneo .com

fuougcdv .org

www. dbrgf .ru

www. bnmd .kz

www. nvepe .ru

www. mtno .ru

www. wmpd .ru

www. msngk6 .ru

www. vjhdo .com

www. aspx37 .me
google-analitycs.dbrgf .ru

www. advabnr .com

www. lijg .ru

www. dft6s .kz


Cada uno de estos dominios aloja el siguiente script, escrito en JavaScript, llamado script.js (MD5: ccec2c026a38ce139c16ae97065ccd91), desde el cual ejecuta un Drive-by-Download:

Esta llamada a través de la etiqueta iframe, es realizada a una URL que forma parte activa de una red Fast-Flux.

;google-analitycs.lijg.ru. IN A

;; ANSWER SECTION:
google-analitycs.lijg.ru. 600 IN A 68.119.39.129
google-analitycs.lijg.ru. 600 IN A 69.176.46.57
google-analitycs.lijg.ru. 600 IN A 71.12.89.233
google-analitycs.lijg.ru. 600 IN A 76.73.237.59
google-analitycs.lijg.ru. 600 IN A 97.104.40.246
google-analitycs.lijg.ru. 600 IN A 98.194.180.179
google-analitycs.lijg.ru. 600 IN A 146.57.249.100
google-analitycs.lijg.ru. 600 IN A 151.118.186.131
google-analitycs.lijg.ru. 600 IN A 165.166.236.74
google-analitycs.lijg.ru. 600 IN A 173.16.99.131
google-analitycs.lijg.ru. 600 IN A 173.17.180.79
google-analitycs.lijg.ru. 600 IN A 24.107.209.119
google-analitycs.lijg.ru. 600 IN A 24.170.188.201
google-analitycs.lijg.ru. 600 IN A 68.93.61.194

;; AUTHORITY SECTION:
lijg.ru. 339897 IN NS ns3.lijg.ru.
lijg.ru. 339897 IN NS ns2.lijg.ru.
lijg.ru. 339897 IN NS ns1.lijg.ru.
lijg.ru. 339897 IN NS ns5.lijg.ru.
lijg.ru. 339897 IN NS ns4.lijg.ru.

;; Query time: 263 msec
;; SERVER: 192.168.240.2#53(192.168.240.2)
;; WHEN: Sun Jan 25 20:31:57 2009
;; MSG SIZE rcvd: 356


Al mismo tiempo que cada una de las direcciones web líneas arriba expuestas forman una nueva granja de redes Fast-Flux con grupos de direcciones IP espejadas.

Fast-Flux es una técnica avanzada utilizada con fines maliciosos, de manera conjunta con otras, para la propagación de diferentes amenazas. Esto obliga a ser cautelosos en todo momento.

# pistus

Ver más