Virus/malware activo por las redes de IRC

Friday, November 05, 2004


Ante la oleada de infeciones producidas por un virus/malware activo en la red de Irc-Hispano,y otras redes, desde #ayuda_internet ,
preocupados por esta infección, que cada dia se esta extendiendo mas ,
decidimos investigar cual podria ser la causa de la situacion e intentar
llegar cuanto antes a una solucion rapida y eficaz para el usuario que visita la red.

Asi os exponemos hoy el resultado de ese análisis o de esa investigación
para asi ...en conocimiento de todos intentemos por lo menos ,no quedar
infectados o si lo estubiesemos intentar desinfectarnos cuanto antes.

Analisis de la situación:

Los que sois asiduos al canal os habreis dado cuenta de que
ultimamente nuestro bot banea muy seguido a una serie de usuarios que
hacen spam por privado...

El motivo no es otro que intentar protegeros de la amenaza de ese
virus ..el "modus operandi" de ese virus es el siguiente:

Entran usuarios con un nick aleatorio a una red de irc ,entran en un
canal o varios y dejan por privado o por el general una url ,el usuario
incauto que clica en ellas,y descarga el programa malware y lo ejecuta
queda infectado.

=============================
url "capturadas" son estas:
=============================
http://hotgirl.such.info If you love amateurs... real amateurs, this
is the best site on the net. Don't wait another second for these porn star wannabe's! CLICK HERE NOW -your ***** will thank you!

http://hardporn.be.tf The most provocative and fantastic ,high tempo
hard porn,fliery *****ing scenes,school girls,crazy lolitas all of them
are in this web

http://smssend.tr.gs Text Message anyone worldwide free with
International SMS Messaging No signup required..! iF you want to send
only click this site..!

http://newmp3s.gen.ms Click Here! Free Downloads AZ, Full Mp3 Albums,
New Mp3 Albums ..

http://freemp3.here.ws Do you want to Listen All of the Singer's New
album and New SingLes..? aLso it Ýs free..! only click This Site..!
Full albums and a Lot of mp3 Free..!

===========================================================

Despues de hacer un seguimiento de las webs e intentar "ver" el
motivo por el cual puede pasar esto y que referencia tiene con esas
webs ,nos damos cuenta de que todas las url llevan a una misma web
desde la cual se descargan archivos con doble extension

La web donde llevan es a esta http://cyprusturk.net/porn/
web que guarda en ese directorio varios archivos exe para descargar,
dependiendo del dominio desde el que se venga algunos ejemplos son estos :




asiavideo.mpeg.exe
sex.mpeg.exe
good.mp3.exe
real.mp3.exe


Lleva a muchos mas con diferentes nombres y diferentes primeras
extensiones,es algo deliverado ,pues se incluye en el exe el icono perteneciente a la extension mpeg o mp3 con lo cual el usuario mediano llegaria a ejecutar esa "pelicula" o ese "mp3" y entonces es cuando el exe es desempaquetado y instalado.Por el analisis de algunas de esos archivos llegamos a la siguiente informacion :

********************************************************************
FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
********************************************************************

File: C:Do*****ents and
SettingsadministradorEscritoriohispanogood.mp3.exe
Date: 13/09/2004 17:47:29

***** General ******************************************************
Location: C:Do*****ents and SettingsadministradorEscritoriohispano
Size: 4823545
Version: 1.6.0.0
CRC-32: 9F6F50FC
MD5: CE6CD747A6C8A62334290EE8E85D5EBB
Read only: No
Hidden: No
System file: No
Directory: No
Archive: Yes
Symbolic link: No
Time stamp: lunes, 13 de septiembre de 2004 17:24:36
Creation: lunes, 13 de septiembre de 2004 17:03:02
Last access: lunes, 13 de septiembre de 2004 17:43:28
Last write: lunes, 13 de septiembre de 2004 17:24:36

***** Version ******************************************************
Supported languages:: Inglés (Estados Unidos) (1033/1252)
--- Version --------------------------------------------------------
File version: 1, 6, 0
Company name: instyler installation software
Internal name: setup.exe
Comments: www.instyler.com info@instyler.com
Legal copyright: Copyright © 2000 Sebastian Brand
Legal trademarks:
Original filename: setup.exe
Product name: instyler ex-it!
Product version: 1, 6, 0
File description: instyler ex-it! Self-Extractor
Private build:
Special build:

***** Resources ****************************************************
--- Cursor ---------------------------------------------------------
1
2
3
4
5
6
--- Bitmap ---------------------------------------------------------
BBABORT
BBALL
BBCANCEL
BBCLOSE
BBHELP
BBIGNORE
BBNO
BBOK
BBRETRY
BBYES
CDROM
CLOSEDFOLDER
CURRENTFOLDER
EXECUTABLE
FLOPPY
HARD
KNOWNFILE
NETWORK
OPENFOLDER
RAM
TNEWBEVEL
TNEWGAUGE
UNKNOWNFILE
--- Icon -----------------------------------------------------------
1
2
3
4
--- String Table ---------------------------------------------------
3841
3842
3843
3844
3845
3846
3847
3848
3849
3850
3851
3852
3853
4089
4090
4091
4093
4094
4095
--- RCData ---------------------------------------------------------
TFLIC
TFOLFORM
TINSTALLFORM
TMAINFORM
TPWDFORM
--- Cursor Group ---------------------------------------------------
32762
32763
32764
32765
32766
32767
--- Icon Group -----------------------------------------------------
MAINICON
--- Version Info ---------------------------------------------------
1
--- XP Manifest ----------------------------------------------------
1
?xml version="1.0" encoding="UTF-8" standalone="yes"?
assembly xmlns="urn:schemas-microsoft-com:asm.v1"
manifestVersion="1.0"
assemblyIdentity
name="Your.Application.Name.Here"
processorArchitecture="x86"
version="1.0.0.0"
type="win32"/
description Windows Shell /description
dependency
dependentAssembly
assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="x86"
publicKeyToken="6595b64144ccf1df"
language="*"
dependentAssembly
/dependency
/assembly

***** PE Header ****************************************************
Signature: 00004550
Machine: 014C - Intel 386
Number of sections: 0008
Time/Date stamp: 2A425E19
Pointer to symbol table: 00000000
Number of symbols: 00000000
Size of optional header: 00E0
Characteristics: 818F
Magic: 010B
Linker version (major): 02
Linker version (minor): 19
Size of code: 00036A00
Size of initialized data: 0000FC00
Size of uninitialized data: 00000000
Address of entry point: 00037468
Base of code: 00001000
Base of data: 00038000
Image base: 00400000
Section alignment: 00001000
File alignment: 00000200
OS version (major): 0001
OS version (minor): 0000
Image version (major): 0000
Image version (minor): 0000
Sub system version (major): 0004
Sub system version (minor): 0000
Win32 version: 00000000
Size of image: 0004E000
Size of headers: 00000400
Checksum: 00000000
Sub system: 0002 - Windows graphical user interface
(GUI) subsystem
DLL characteristics: 0000
Size of stack reserve: 00100000
Size of stack commit: 00004000
Size of heap reserve: 00100000
Size of heap commit: 00001000
Loader flags: 00000000
Number of RVA: 00000010

***** PE Sections **************************************************
CRC-32: ?
MD5: ?
----- PE Sections --------------------------------------------------
Section VirtSize VirtAddr PhysSize PhysAddr Flags
CODE 00036854 00001000 00036A00 00000400 60000020
DATA 00001DE4 00038000 00001E00 00036E00 C0000040
BSS 00002508 0003A000 00000000 00038C00 C0000000
.idata 00001CBA 0003D000 00001E00 00038C00 C0000040
.tls 00000008 0003F000 00000000 0003AA00 C0000000
.rdata 00000018 00040000 00000200 0003AA00 50000040
.reloc 000033D8 00041000 00000000 00000000 50000040
.rsrc 00008A00 00045000 00008A00 0003AC00 50000040

***** Import/Export table ******************************************
--- Export table ---------------------------------------------------
--- Import table (libraries: 12) -----------------------------------
kernel32.dll (imports: 36)
DeleteCriticalSection
LeaveCriticalSection
EnterCriticalSection
InitializeCriticalSection
VirtualFree
VirtualAlloc
LocalFree
LocalAlloc
WideCharToMultiByte
TlsSetValue
TlsGetValue
SetCurrentDirectoryA
RemoveDirectoryA
MultiByteToWideChar
GetModuleHandleA
GetModuleFileNameA
GetLastError
GetCommandLineA
GetCurrentDirectoryA
ExitThread
CreateThread
CreateDirectoryA
WriteFile
SetFilePointer
SetEndOfFile
RtlUnwind
ReadFile
RaiseException
MoveFileA
GetStdHandle
GetFileSize
GetFileType
ExitProcess
DeleteFileA
CreateFileA
CloseHandle
user32.dll (imports: 1)
MessageBoxA
oleaut32.dll (imports: 5)
VariantChangeTypeEx
VariantCopyInd
VariantClear
SysStringLen
SysAllocStringLen
advapi32.dll (imports: 6)
RegSetValueExA
RegQueryValueExA
RegOpenKeyExA
RegFlushKey
RegCreateKeyExA
RegCloseKey
kernel32.dll (imports: 64)
WriteFile
WinExec
WaitForSingleObject
VirtualAlloc
TerminateThread
SizeofResource
SetFileTime
SetFilePointer
SetFileAttributesA
SetErrorMode
SetCurrentDirectoryA
ResumeThread
ReadFile
MultiByteToWideChar
MulDiv
LockResource
LocalFileTimeToFileTime
LoadResource
LoadLibraryA
GlobalUnlock
GlobalReAlloc
GlobalHandle
GlobalLock
GlobalFree
GlobalDeleteAtom
GlobalAlloc
GlobalAddAtomA
GetWindowsDirectoryA
GetVolumeInformationA
GetVersionExA
GetVersion
GetSystemDirectoryA
GetSystemDefaultLCID
GetShortPathNameA
GetProcAddress
GetModuleFileNameA
GetLogicalDrives
GetLocaleInfoA
GetLastError
GetFullPathNameA
GetFileAttributesA
GetExitCodeThread
GetExitCodeProcess
GetEnvironmentVariableA
GetDriveTypeA
GetCurrentThreadId
GetCurrentProcessId
GetCurrentProcess
FreeResource
FreeLibrary
FindResourceA
FindNextFileA
FindFirstFileA
FindClose
FileTimeToLocalFileTime
FileTimeToDosDateTime
DosDateTimeToFileTime
DeleteFileA
CreateThread
CreateProcessA
CreateFileA
CreateDirectoryA
CompareStringA
CloseHandle
mpr.dll (imports: 1)
WNetGetConnectionA
version.dll (imports: 3)
VerQueryValueA
GetFileVersionInfoSizeA
GetFileVersionInfoA
gdi32.dll (imports: 58)
UnrealizeObject
TextOutA
StretchDIBits
StretchBlt
SetWindowOrgEx
SetWinMetaFileBits
SetViewportOrgEx
SetTextColor
SetStretchBltMode
SetROP2
SetEnhMetaFileBits
SetBkMode
SetBkColor
SelectPalette
SelectObject
SaveDC
RestoreDC
Rectangle
RectVisible
RealizePalette
PlayEnhMetaFile
PatBlt
MoveToEx
IntersectClipRect
GetWindowOrgEx
GetWinMetaFileBits
GetTextMetricsA
GetTextExtentPointA
GetSystemPaletteEntries
GetStockObject
GetPixel
GetPaletteEntries
GetObjectA
GetEnhMetaFilePaletteEntries
GetEnhMetaFileHeader
GetEnhMetaFileBits
GetDeviceCaps
GetDIBits
GetCurrentPositionEx
GetClipBox
GetBitmapBits
ExcludeClipRect
EnumFontsA
DeleteObject
DeleteEnhMetaFile
DeleteDC
CreateSolidBrush
CreateRectRgn
CreatePenIndirect
CreatePalette
CreateFontIndirectA
CreateDIBitmap
CreateCompatibleDC
CreateCompatibleBitmap
CreateBrushIndirect
CreateBitmap
CopyEnhMetaFileA
BitBlt
user32.dll (imports: 135)
WindowFromPoint
WinHelpA
WaitMessage
WaitForInputIdle
UpdateWindow
UnregisterClassA
UnhookWindowsHookEx
TranslateMessage
TranslateMDISysAccel
TrackPopupMenu
SystemParametersInfoA
ShowWindow
ShowOwnedPopups
ShowCursor
SetWindowRgn
SetWindowsHookExA
SetWindowTextA
SetWindowPos
SetWindowPlacement
SetWindowLongA
SetTimer
SetScrollPos
SetScrollInfo
SetRect
SetPropA
SetMenu
SetForegroundWindow
SetFocus
SetCursor
SetCapture
SetActiveWindow
SendMessageA
ScrollWindow
ScreenToClient
RemovePropA
RemoveMenu
ReleaseDC
ReleaseCapture
RegisterWindowMessageA
RegisterClassA
PtInRect
PostQuitMessage
PostMessageA
PeekMessageA
OffsetRect
OemToCharA
MessageBoxA
MapWindowPoints
MapVirtualKeyA
LoadStringA
LoadIconA
LoadCursorA
LoadBitmapA
KillTimer
IsZoomed
IsWindowVisible
IsWindowEnabled
IsWindow
IsRectEmpty
IsIconic
IsDialogMessageA
InvalidateRect
IntersectRect
InsertMenuItemA
InsertMenuA
InflateRect
GetWindowThreadProcessId
GetWindowTextA
GetWindowRgn
GetWindowRect
GetWindowPlacement
GetWindowLongA
GetSystemMetrics
GetSystemMenu
GetSysColor
GetSubMenu
GetScrollPos
GetPropA
GetParent
GetWindow
GetMenuStringA
GetMenuState
GetMenuItemCount
GetMenu
GetLastActivePopup
GetKeyState
GetKeyNameTextA
GetIconInfo
GetForegroundWindow
GetFocus
GetDesktopWindow
GetDCEx
GetDC
GetCursorPos
GetCursor
GetClipboardData
GetClientRect
GetClassInfoA
GetCapture
GetActiveWindow
FrameRect
FillRect
EqualRect
EnumWindows
EnumThreadWindows
EndPaint
EnableWindow
EnableMenuItem
DrawTextA
DrawMenuBar
DrawIcon
DrawFocusRect
DrawEdge
DispatchMessageA
DestroyWindow
DestroyMenu
DestroyIcon
DestroyCursor
DeleteMenu
DefWindowProcA
DefMDIChildProcA
DefFrameProcA
CreateWindowExA
CreatePopupMenu
CreateMenu
CreateIcon
ClientToScreen
CheckMenuItem
CallWindowProcA
CallNextHookEx
BeginPaint
CharLowerBuffA
CharLowerA
CharUpperBuffA
AdjustWindowRectEx
comctl32.dll (imports: 12)
ImageList_GetDragImage
ImageList_DragShowNolock
ImageList_SetDragCursorImage
ImageList_DragMove
ImageList_DragLeave
ImageList_DragEnter
ImageList_EndDrag
ImageList_BeginDrag
ImageList_SetBkColor
ImageList_ReplaceIcon
ImageList_Destroy
ImageList_Create
ole32.dll (imports: 3)
CoCreateInstance
CoUninitialize
CoInitialize
shell32.dll (imports: 1)
ShellExecuteA
********************************************************************
FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
********************************************************************

Estamos en un seguimiento mayor de esta situacion ya que cada vez son
mas los usuarios que dia a dia entran en el irc y dejan el link hacia
la web ...lo que nos hace pensar que sea lo ke sea se esta extendiendo
y deprisa ... pues en apenas dos dias hemos pasado de uno o dos
usuarios o bots que entraban a ya casi los 100 por dia en diferentes
canales.

Despues de observar esta situacion y pensar en que hacer , decidimos
enviar muestras a las casas antivirus (panda,mcaffe,bitdefender,avp y
alguno mas) hasta ahora solo mcaffe contesto a nuestro rekerimiento
,contestando
sobre el archivo de muestra enviado lo siguiente :

==================================
fwd del mail de mcaffe con la respuesta :
==================================
From: Virus Research virus_research@avertlabs.com
Date: Mon, 13 Sep 2004 12:15:50 -0700
Subject: RE: Escalation: 1301426 - Re: posible nuevo virus ???
To: Lostmon lostmon@gmail.com

A.V.E.R.T. Sample Analysis
Issue Number:1301426
Virus Research Analyst: Brant Yaeger
Identified: mrsn.ex ... Found application HideWindow.
ping.hlp ... Found the IRC/Flood.bi trojan !!!
rebot.dll ... Found application IRC/Flood.tool.
Symad.ex ... Found application Tool-WGet.
tuqa.dll ... Found application IRC/Flood.tool.
Windows.icm ... Found the IRC/Flood.dt trojan !!!
zerz.dll ... Found the IRC/Seiseni.worm virus !!!

AVERT(tm) Labs, Beaverton, OR

Thank you for submitting your suspicious files.

Synopsis -

This malware can be identified and removed with our current scanners
(Version 4x Engine 4.2.60 + the current DAT).

In order to get the fastest possible response, you may wish to submit future
virus-samples to http://www.webimmune.net. In most cases it can respond
almost instantly with a solution.

More and more malware threats are taking advantage of open file and printer
shares to spread, without users having to actually execute any files.

If your computer is not networked with other machines, there is no need to
have file and printer sharing installed, so it should be disabled. If your
computer is networked with others, you may need to have some level of file
and printer sharing. In either case, if you are affected by one of these
threats, you may need to adjust your level of file and printer sharing to
take care of the problem.

Please consult with your administrator before making any changes on your
own, if you're on a LAN.

For other virus-related information, please see the AVERT homepage at:
http://vil.mcafeesecurity.com/vil/default.asp

Solution -

If you are using an Engine older than what is current, we strongly recommend
that you upgrade as, in a lot of cases, an old engine will not identify and
remove certain malware (even with a current set of DAT files). So, as well
as DAT files, engines need to be updated to include regular changes and
improvements made to the scanner.

=======================================================

Lo cual en resumidas cuentas dice viene a decir ...que si que hay
codigo virico en esos
programas o esos exe que son descargados...y ademas nos proporcionan
las partes de esos virus o
malware( los payloads),que son los archivos que se instalan en sistema
una vez ejecutado el exe ...

Despues de haber echo algunas pruebas con algun antivirus
por ahora solo mcaffe nos lo ha detectado con el engine 4.x y las
ultimas bases de datos del antivirus ( el dat ke contiene las firmas
de virus).. revisar esta informacion y intentar no clicar en ninguna
web quie no conozcais ,y si por lo ke sea llegais a una de esas webs
ni se os ocurra ejecutar el exe ke se descarga ,si usais opera o otro
navegador que no sea explorer , lo vereis enseguida pues en la ventana
de descarga vereis la doble extension y la ultima sera un exe ..ir
con cuidado.

atentamente:
El equipo de #ayuda_internet

http://www.ayuda-internet.net
La ayuda ..nuestra razón de ser.

Latest OSVDB Vulnerabilities

 

Browse

About:Me

My blog:http://lostmon.blogspot.com
Mail:Lostmon@gmail.com
Lostmon Google group
Lostmon@googlegroups.com

La curiosidad es lo que hace
mover la mente...