Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 11 de febrero de 2009

Waledac e Ingeniería Social en San Valentín

Para el malware actual, cada evento, noticia o circunstancia especial es aprovechada como método de engaño para diseminarse a sí mismo o a otros códigos maliciosos, siendo el correo electrónico no deseado uno de los vectores de ataque más empleados para este fin.

Nuestras casillas de correo muestran ejemplos concretos que describen esta situación. El día de San Valentín (o de los enamorados) es uno de ellos, y si miramos un poco el correo spam que nos inunda, notaremos que muchos hacen alguna referencia al cercano festejo.


De hecho, waledac ha comenzado su campaña de propagación con bastante anticipación diseminándose utilizando como engaño una típica imagen que hace alusión a los enamorados mediante la cual se descargaba un binario llamado love.exe que lejos de ser amoroso, infecta el equipo convirtiéndolo en un zombie.


Como componente extra, esta anterior campaña, además de descargar el malware, la página maliciosa contenía un exploit. Entre ellas se encontraron:

googol-analisys .com

seocom .name

seocom .mobi

seofon .net

goog-analysis .com


Sin embargo, recientemente sus desarrolladores han migrado la imagen a otra que pretende encontrar el mismo grado de "ternura", descargando también a waledac.


Algunos de los nombres utilizados para el binario son:

lovekit.exe

mylove.exe

loveprogramm.exe

love.exe

loveexe.exe

barack.exe

postcard.exe

devkit.exe

runme.exe

you.exe

onlyyou.exe

youandme.exe
card.exe
ecard.exe

val.exe
install.exe

Waledac hace uso de redes Fast-Flux y algunos de los dominios utilizados para propagarlos son:


adorelyric .com
adorepoem .com

adoresongs .com

alldatanow .com

alldataworld .com

bestadore .com

bestlovehelp .com

bestlovelong .com

cantlosedata .com

chatloveonline .com

cherishletter .com

cherishpoems .com

freedoconline .com

funloveonline .com

goodnewsdigital .com

losenowfast .com

lovecentralonline.com

lovelifeportal.com

mingwater .com

orldlovelife .com

romanticsloving .com

superobamaonline .com

theworldpool .com

topwale .com

wagerpond .com

whocherish .com

worldlovelife .com

worldtracknews .com

worshiplove .com

youradore .com

yourdatabank .com

yourgreatlove .com

yourteamdoc .com


Muchos lo comparan con otros códigos maliciosos como Nuwar (también conocido como storm o gusano de la tormenta) debido a la similitud de sus estrategias de diseminación y actividades maliciosos que realiza en el equipo infectado. Sin embargo, la realidad es que waledac es un peligroso código malicioso que ha formado una de las más importantes redes botnet del momento.


Información relacionada:
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs
Entendiendo las redes Fast-Flux

# pistus

Ver más