Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 29 de junio de 2009

ElFiesta. Reclutamiento zombi a través de múltiples amenazas

ElFiesta es otro integrante de la familia de aplicaciones web, creada por desarrolladores rusos y puesta a disposición de los ciber-delincuentes, que permiten no sólo controlar y administrar cada una de las computadoras infectadas que forman parte de su red (zombis) sino que también ejecutar ataques vía web a través de diferentes técnicas que involucran la explotación de vulnerabilidades.

Uno de los módulos de ElFiesta posee como objetivo precisamente la propagación/infección a través de archivos PDF (Portable Document Format) que buscan vulnerabilidades en algunas versiones de Adobe Acrobat Reader.

En este caso, el archivo descargado se llama 4573.pdf (MD5: b7b7d52a205e950adf4795c14c7f7178), cuyo nombre es aleatorio, posee una tasa de detección del casi el 50%, por ende, una tasa de infección bastante importante por el momento.

Como se mencionó anteriormente, explota una vulnerabilidad (la CVE-2007-5659) que provoca un múltiple Desbordamiento de Búfer a través del archivo pdf previamente manipulado de manera maliciosa incrustando en el mismo un script en JavaScript que descarga y ejecuta un binario llamado load.exe (MD5: 5ee26f43139a2cdb3a79a835574285a0) desde /load.php?id=1118&spl=3.

Otro de los módulos que incorpora ElFiesta centra el ataque en un método scripting sometido a una técnica de ofuscación.

Realizando un análisis más profundo del caso, nos encontramos con una versión de ElFiesta recién implementada. En la siguiente captura se aprecia que la información estadística corresponde a nuestros datos.

Estos métodos son comunes a la mayoría de aplicativos crimeware de este estilo; sin embargo, apreciamos un detalle más que interesante: el dominio utilizado corresponde a un conocido scareware llamado XP Police Antivirus.

En consecuencia, la primera pregunta que viene a la mente es: XP Police Antivirus ¿colabora con el reclutamiento zombi de ElFiesta?

Más información
Fusión. Un concepto adoptado por el crimeware actual
Estrategia de infección agresiva de XP Police Antivirus
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual

# pistus

Ver más

Una recorrida por los últimos scareware X

Una vez más, los dominios expuestos en el presente constituyen tan sólo una mínima porción del volumen total de direcciones web empleadas para propagar scareware.


Nuestro objetivo se canaliza en exponer un conjunto de dominios que pueden ser empleados con fines investigativos, el bloqueo de los mismos o simplemente conocer cuáles son las amenazas de este estilo que han aparecido (o resurgido) durante los últimos días.

Virus Remover Professional
MD5: 19f19c24e0b065696bec1906bc8f0961
IP: 213.182.197.229
Latvia Latvia Riga Real_host_net
Dominios asociados:
avpro-labs .com

Result: 2/41 (4.88%)

MalwareDoc +
IP: 72.9.108.26
United States United States New York Ezzi.net
Dominios asociados:
mal-warexls .net
malware-safe .com
kingpinservers .info
internetware-safe .com



Antivirus Agent Pro
MD5: 24176f08a13e09495b163ac3343ebba8
IP: 83.133.126.46
Germany Germany Lncde-greatnet-newmedia
Dominios asociados
avagent-pro .com, actupdate .net, download-123 .cn, downloads-123 .com, t230.1paket .com, www.downloads-123 .com
Result: 15/41 (36.59%)

Personal Antivirus
IP: 208.76.56.56
United States United States Burlingame Everydns Llc
Dominios asociados
folderantispywarescanner .com
123vuilen .net
A1pro .hn
Bestlaostours .com


areascan4.info/download/install.php, finescan4.info/download/install .php, goalscan4.info/download/install.php, hardscan4.info/download/install .php, modescan4.info/download/install.php, onescan4.info/download/install .php, pagescan4.info/download/install.php, portscan4.info/download/install .php, scan4into.info/download/install.php (209.44.126.102) - Canada Laval Netelligent Hosting Services Inc

Descarga el binario "install.exe" (MD5: 6f4488dcb648054f3cf2a7a1bdbb44bf)
Result: 11/39 (28.21%)

av4best .net/?uid=106&pid=3, 7security.info/?uid=102&pid=3 (64.86.17.47) - Canada Brampton Velcom
best-adultnet .com/promo2 (91.212.132.11) - Serbia Interforum Ltd
fastpcscan3 .com/download.php?id=2022 (91.212.65.125) - Ukraine Eurohost Llc
fastpcscan3 .com/download/Setup-398_02022.exe (92.62.98.19) - Estonia Tallinn Collocation
powerantivirusscannerv2 .com/download/Setup-a5320fa_02018.exe (88.198.41.170) - Germany Gunzenhausen Hetzner-rz-nbg-net

safetywwwtools .com/hitin.php?land=98&affid=16100 (209.44.126.36) - Canada Laval Netelligent Hosting Services Inc
Result: 12/41 (29.27%)

avprotectionstat .com/index.php (74.50.99.236) - United States Tampa Noc4hosts Inc
registerantivirus .com (74.50.98.152) - United States Tampa Noc4hosts Inc
youravprotection .com/support (74.50.98.162) - United States Tampa Noc4hosts Inc
allfet .info/antispyware (208.100.34.148) - United States Chicago Nozone Inc
suprotect .com/hitin.php?land=20&affid=02909 (89.149.212.218) - Poland Netdirect-net-exportal
activeantivir .com (78.159.114.189) - Germany Berlin Netdirekt E.k
antivirusfolderscanner .com (69.4.230.205) - United States Chicago Hosting Services Inc
apoiweh .cn/x_private_backtraffnail.php/?uid=102 (222.73.219.74) - China Beijing Chinanet Shanghai Province Network
blanket.bitelere.us (93.190.142.134) - Netherlands Schiedam Worldstream

Antivirus Best
MD5: eba5ca538be5b69f59f4de9ae8a21f5f
IP: 174.142.113.205
Canada Canada Montreal Iweb Technologies Inc
Dominios asociados
best-protect .info, av-protect.info
run.best-protect.info, scanner.av-protect.info
scanner.best-protect.info, download.best-protec.info

Result: 20/41 (48.78%)


Información relacionada
Una recorrida por los últimos scareware IX
Una recorrida por los últimos scareware VIII
Una recorrida por los últimos scareware VII
Una recorrida por los últimos scareware VI
Una recorrida por los últimos scareware V
Una recorrida por los últimos scareware IV
Una recorrida por los últimos scareware III
Una recorrida por los últimos scareware II
Una recorrida por los últimos scareware

# pistus

Ver más