Gusanito.exe descarga troyano bancario y conecta a irc
Articulo original:http://lostmon.blogspot.com/2008/03/
gusanitoexe-descarga-troyano-bancario-y.html
########################################################
Hoy me llego un nuevo intento de pishing disfrazado
con una targeta de gusanito.com.
Despues de un leve estudio sobre el mismo descubro que
el link de la targeta lleva a la descarga directa de
un archivo llamado "gusanito.exe".
##########################
imagen del mail
##########################
Me descargo el ejecutable y despues de analizar el
archivo , me sorprendo por lo poco escondido que
esta en si el intento de fraude.
###########################
Imagen cabeceras mail
###########################
Si el usuario incauto descargo y ejecuto, ya que
se esconde bajo el incono de un dibujo, el archivo
esconde un troyano bancario llamado winmedia.exe
el troyano es Trojan-Spy.Win32.Banker.anv o alguna
de sus variantes su informacion puede consultarse aqui:
http://www.viruslist.com/en/viruses/encyclopedia?virusid=105552
Si observamos el codigo en hexa del ejecutable "gusanito.exe"
encontramos varias cosas curiosas:
La ruta donde el el atacante a compilado su proyecto asi
como el nombre de usuario con el que se haya logeado en su
maquina.
C : \ D o c u m e n t s a n d S e t t i n g s \ h u g o \
E s c r i t o r i o \ H u g o T o o l s F I N A L I S I M O
3 . 0 \ H u g o T o o l s \ D R O N E S \ P r o y e c t o 1 . v b p
Entre el codigo tambien se ve que interactua con MSN ,obteniendo
la lista de contactos y mandando in mensage a los contactos con varios
mensages distintos, imitando alguna de los tipicos virus de msn
con los mensages , mira estas fotos o mira este video hermoso hermoso
hermoso entre otras (en el archivo hexa pueden verse claramente)
lanzando asi la url para el usuario victima junto con la frase.
#########################################
imagen clave msn y imagen frases msn
#########################################
#############################################
Imagen link descarga y clave registro windows
###############################################
Ademas , se establece una conexion al servidor ccpower.com.mx
por irc con un nick Drone??? donde ??? son numeros aleatorios
y entrando al canal #banamex donde de los casi 400 usuarios
del canal ,el 90% son victimas infectadas.
#############################
conexion irc
#############################
Es desde este canal desde donde se manejan a los usuarios
victima ,pasando por el canal las direcciones de email
de los contanctos de las victimas y obteniendo los datos
que hayan podido ser capturados por el atacante , bien sea
por el troyano o bien sea por las funciones de keyloger
que posee el ejecutable.
############################################
Imagen vista irc
############################################
ni que decir tiene que fuy baneado de su irc ...
creo que no tienen sentido del humor XDDDD
La proteccion es la misma de siempre, no descargar
archivos desde fuentes no fidelignas,
Tener el antivirus actualizado
Y NO EJECUTAR NADA SIN SABER QUE ES Y SIN HABERLE
PASADO ANTES UN ANTIVIRUS !!!!!!!
################################
Analisis automatico del archivo
(gracias a Jose luis)
################################
Un examen automático da esto:
Intenta replicarse a través de una red.
Se copia en la carpeta de Windows:
C:\Windows\WinMedia.exe
Crea o modifica las siguientes entradas del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IpInIp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\IASSDO
EnableFileTracing = 0x00000000
EnableConsoleTracing = 0x00000000
FileTracingMask = 0xFFFF0000
ConsoleTracingMask = 0xFFFF0000
MaxFileSize = 0x00100000
FileDirectory = "%windir%\tracing"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemMigration = "%Windir%\WinMedia.exe"
Se intenta conectar a la siguiente dirección:
irc.ccpower.com.mx
Se conecta y envía los siguientes datos:
USER nomail@nomail.com localhost9195 irc.ccpower.com.mx :botitooo
NICK Drone-919-5
JOIN :#banamex
PONG :response
PONG ::+i
PONG :list.
PONG ::.VERSION.
PONG ::.status
PONG ::.id
PONG ::.stats
PONG ::.uptime
PONG :PROCESS_NAME_TO_TERMINATE
PONG ::.ident
PONG ::.keylog
PONG ::.httpserver
PONG :50
PONG :-r
PONG :60
USER nomail@nomail.com localhost11606 irc.ccpower.com.mx :botitooo
NICK Drone-1160-6
#################€nd#####################
Thnx to Jose Luis from http://www.vsantivirus.com
por el analisis automatico, su paciencia y ayuda :)
Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....