Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 21 de junio de 2009

Simbiosis del malware actual. Koobface

Koobface es un gusano diseñado a explotar los perfiles de usuarios de populares redes sociales como MySpace y FaceBook con la finalidad de obtener información sensible y confidencial de sus víctimas; aunque las versiones más recientes limitan su objetivo a FaceBook. De hecho, la palabra Koobface es una transposición de la palabra Facebook.

Sus primeras versiones datan de fines de 2008 y desde ese entonces continúa In-the-Wild con un índice de infección preocupante. Tal es así que la misma compañía dio a conocer una serie de
medidas preventivas tendientes a minimizar el potencial riesgo de infección, que constantemente se encuentra latente para los usuarios que hacen uso de la red social.

En principio, el medio de diseminación habitual que utiliza Koobface es vía web a través de Ingeniería Social Visual y constituye la primera faceta de propagación.
La segunda faceta (infección) canaliza sus acciones maliciosas en una característica muy común en la actualidad, que se basa en la conjunción de malware, generando una simbiosis donde cada uno de los componentes del ambiente despliegan instrucciones particulares que buscan un objetivo común y general.

Pero veamos cuáles son esos componentes que forman parte de la etapa de infección de la variante Koobface.NBO.
Este gusano. detectado actualmente por aproximadamente 31 compañías antivirus de 41 (75.61%), al infectar el sistema establece conexión con las siguientes URL's:
  • http://oberaufseher.net/img/cmd.php
  • http://pornfat.net/img/cmd.php
También descarga los siguientes códigos maliciosos:
  • TrojanDownloader.Small.OCS Troyano
  • Tinxy.AD Troyano
  • Tinxy.AF Troyano
  • BHO.NOE Troyano
  • Koobface.NBH gusano
  • PSW.LdPinch.NEL Troyano
Desde el punto de vista técnico, se pueden establecer algunos datos recolectados del breve análisis preliminar de cada uno de los códigos maliciosos descargados por Koobface:

El troyano TrojanDownloader.Small.OCS posee una tasa de detección de 35/40 (87.5%)
crea claves en el registro y realiza una copia de sí mismo.
  • HKLM\SOFTWARE\Microsoft\MSSMGR\
  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\winccf32
  • C:\WINDOWS\system32\winccf32.dll (copia de sí mismo).
Tinxy.AF, otro troyano, también crea archivos en el sistema y posee una tasa de detección levemente menor al anterior, 30/40 (75.00%).
  • C:\windows\ld09.exe
  • C:\docume~1\user\locals~1\temp\podmena.bat
El troyano Tinxy.AD posee un índice de detección de 35/40, aproximadamente es detectado por el 87.50% de los antivirus. Crea una copia de sí mismo y hace uso de la herramienta NetShell para habilitar una DLL, abrir puertos y especificar un proxy.
  • C:\WINDOWS\system32\SYSDLL.exe (copia de sí mismo)
  • netsh add allowedprogram "SYSDLL" C:\WINDOWS\System32\SYSDLL.exe ENABLE
  • netsh firewall add portopening TCP 80 SYSDLL ENABLE
  • netsh firewall add portopening TCP 7171 SYSDLL ENABLE
  • netsh winhttp set proxy proxy-server="http=localhost:7171" Agrega la información del proxy en:HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /d "http=localhost:7171" /f
BHO.NOE, es otro de los troyanos que forman parte del proceso de infección de Koobface, con una tasa de detección del 92.11% (35/38), crea una carpeta y un archivo.
  • C:\WINDOWS\system32\796525
  • C:\WINDOWS\system32\796525\796525.dll
En cuanto al troyano PSW.LdPinch.NEL, detectado por 34 antivirus de 40 (85.00%), está diseñado para robar contraseñas de diferentes navegadores web, clientes de correo, clientes de mensajería instantánea y otros servicios.

Por último, descarga una variante de la familia, el gusano Koobface.NBH, en este caso, la tasa de detección es de 27/40 (aprox. 67.50%).

Como podemos apreciar, la infección de este código malicioso no se limita sólo a las instrucciones maliciosas que posee, sino que va más allá y descarga otros. Este accionar constituye un comportamiento común en la actualidad, donde la fusión de aplicativos web de control y administración de botnets y la de diferentes tipos de malware, unen fuerzas con un mismo objetivo: aumentar la economía de los delincuentes informáticos.

# pistus

Ver más