Troyano que simula ser actualizacion java

Saturday, June 02, 2007
En los ultimos dias se viene distribuyendo por correo electronico
un correo en el cual se nos informa de un fallo de seguridad en java


Desde ese mismo correo se nos insta a descargar la actualizacion que
solucionara el problema de seguridad.

Al ir al sitio de descarga ,que aparentemente es parecido al sitio
de descarga de Sum microsystems , se nos descarga un arcchivo llamado
install_javav6up2.exe el cual contiene un troyano.


Si obtenemos un pequeño informe del archivo vemos que se ha falseado
hasta la informacion de version del archivo para aparentar se de Sun
el mensaje incorpora varias url que provienen de un server el cual
seguramente ya este comprometido.

http://201.22.57.XX/JAVA/_software/update/index.php?request=Update&program=java
http://201.22.57.XX/JAVA/_software/update/index.php?USUARIO=5B3U6H843N45E82
http://201.22.57.XX/JAVA/_software/download/get.php?license=5B3U6H843N45E82&mode=manual

##################
Analisis del archivo
####################


********************************************************************
FileAlyzer © 2003-2005 Patrick M. Kolla. All Rights Reserved.
********************************************************************


File: C:\Documents and Settings\Lostmon\Escritorio\install_javav6up2.exe
Date: 02/06/2007 2:04:08


***** General ******************************************************
Ubicación: C:\Documents and Settings\Lostmon\Escritorio\
Tamaño: 192512
Versión: 1.2.5.2
CRC-32: 93EEBEE2
MD5: 70CACC3D64585343F6AA04C3135BA24B
SHA1: 20E9C0990D76AB1E8CF84C9425B3F64365E94926
Sólo lectura: No
Oculto: No
Archivo del sistema: No
Carpeta de archivos: No
Archivo: Yes
Enlace simbólico: No
Time stamp: sábado, 02 de junio de 2007 11:31:36
Creado: sábado, 02 de junio de 2007 11:31:34
Último acceso: sábado, 02 de junio de 2007 2:01:16
Modificado: sábado, 02 de junio de 2007 11:31:36


***** Versión ******************************************************
Idiomas soportados:: Portugués (Brasil) (1046/1252)
--- Versión --------------------------------------------------------
Versión del archivo: 1.2.5.2
Empresa: Java
Nombre interno:
Comentarios:
Copyright:
Marcas registradas:
Nombre original: instal_plugin98MEXP.exe
Nombre del producto:
Versión del producto: 2.0.0.0
Descripción: Sun Microsystems Corporation - Arquivo de atualização
Versión privada:
Versión especial:


***** Recursos *****************************************************
--- Cursor ---------------------------------------------------------
1
2
3
4
5
6
7
--- Bitmap ---------------------------------------------------------
BBABORT
BBALL
BBCANCEL
BBCLOSE
BBHELP
BBIGNORE
BBNO
BBOK
BBRETRY
BBYES
PREVIEWGLYPH
--- Icon -----------------------------------------------------------
1
2
--- Dialog ---------------------------------------------------------
DLGTEMPLATE
--- String Table ---------------------------------------------------
4081
4082
4083
4084
4085
4086
4087
4088
4089
4090
4091
4092
4093
4094
4095
4096
--- RCData ---------------------------------------------------------
DVCLAL
PACKAGEINFO
TXTREM
--- Cursor Group ---------------------------------------------------
32761
32762
32763
32764
32765
32766
32767
--- Icon Group -----------------------------------------------------
MAINICON
--- Version Info ---------------------------------------------------
1


***** Cabecera PE **************************************************
Signature: 00004550
Machine: 014C - Intel 386
Number of sections: 0008
Time/Date stamp: 2A425E19
Pointer to symbol table: 00000000
Number of symbols: 00000000
Size of optional header: 00E0
Characteristics: 818E
Magic: 010B
Linker version (major): 02
Linker version (minor): 19
Size of code: 00000000
Size of initialized data: 0000E800
Size of uninitialized data: 00000000
Address of entry point: 00064BD6
Base of code: 00001000
Base of data: 00050000
Image base: 00400000
Section alignment: 00001000
File alignment: 00000200
OS version (major): 0004
OS version (minor): 0000
Image version (major): 0000
Image version (minor): 0000
Sub system version (major): 0004
Sub system version (minor): 0000
Win32 version: 00000000
Size of image: 00066000
Size of headers: 00000400
Checksum: 000308BA
Sub system: 0002 - Windows graphical user interface (GUI) subsystem
DLL characteristics: 0000
Size of stack reserve: 00100000
Size of stack commit: 00004000
Size of heap reserve: 00100000
Size of heap commit: 00001000
Loader flags: 00000000
Number of RVA: 00000010


***** Secciones PE *************************************************
CRC-32: 7059EB4D
MD5: 83C09E84F35E245A0ADA5CC66D4C9B3B
----- Secciones PE -------------------------------------------------
Sección TamañoVirt. DirecciónVirt. TamañoFís. TamañoFís. Parámetros
0004F000 00001000 00028600 00000400 C0000040
00002000 00050000 00000A00 00028A00 C0000040
00001000 00052000 00000000 00029400 C0000040
00002000 00053000 00000E00 00029400 C0000040
00001000 00055000 00000000 0002A200 C0000040
00007000 00056000 00000200 0002A200 C0000040
.rsrc 00006000 0005D000 00002400 0002A400 C0000040
00003000 00063000 00002800 0002C800 C0000040


***** Importar/Exportar tabla **************************************
--- Export table ---------------------------------------------------
--- Import table (libraries: 2) ------------------------------------
kernel32.dll (imports: 1)
GetModuleHandleA
user32.dll (imports: 1)
MessageBoxA

################## €nd #############

--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)

--
La curiosidad es lo que hace mover la mente....

Latest OSVDB Vulnerabilities

 

Browse

About:Me

My blog:http://lostmon.blogspot.com
Mail:Lostmon@gmail.com
Lostmon Google group
Lostmon@googlegroups.com

La curiosidad es lo que hace
mover la mente...