sábado, 31 de agosto de 2013

Falsos Correos de UPS con un troyano alojado en sitio Argentino.


Hace unos días mi amigo Raul, me envió una muestra de un troyano que estaba siendo distribuido como una notificación de la conocida empresa de encomiendas UPS.
La amenaza estaba alojada en un sitio web comprometido de Argentina.





El troyano se trata de una DLL con otra extensión (.dat), se encuentra ofuscado para evitar ser detectado, y es registrado en el sistema con el siguiente comando.


En el momento de ser enviado a V.T. tenia un indice muy bajo de detecciones, para ser mas preciso 2/46

 https://www.virustotal.com/en/file/2fb1137a60cfe8a84e9ddf6dee1075c055847dafe1ace69ba348e54d1e261b3e/analysis/

Observando los nombres detectados por los distintos A.V. realmente no se sabe muy bien a que amenaza corresponde.

Al principio pensaba que se trataba de PWS.Papras, un password stealer muy utilizando en BlackHole Exploit, pero consultado el oráculo de kernelmode.info me indican que se trata de otra amenaza, mas precisamente de Win32/Vawtrak

Verificando los strings encontrados en el dump de la muestra y comprobado en el análisis dinámico confirmo que se trata de este ultimo.




Strings interesantes.

1000C5F6   PUSH dump.10022878                        ASCII "Host"
1000C627   PUSH dump.1002270C                        ASCII "https://"
1000C63C   PUSH dump.10022704                        ASCII "http://"
1000C68E   PUSH dump.10022880                        ASCII "User-Agent"


1000D27A   PUSH dump.1002288C                        UNICODE "iexplore.exe"
1000D28B   PUSH dump.100228A8                        UNICODE "firefox.exe"
1000D29A   PUSH dump.100228C0                        UNICODE "explorer.exe"
1000D2A6   PUSH dump.100228DC                        UNICODE "chrome.exe"

1000EE9E   PUSH dump.10022A90                        ASCII "CreateRemoteThread"
1000F300   PUSH dump.1002237C                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
1000F31B   PUSH dump.10022AA4                        UNICODE "regsvr32.exe /s "%s""
1000F353   PUSH dump.1002237C                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
1000F36E   PUSH dump.10022AD0                        ASCII "regsvr32.exe /s "%s""



10012D5E   MOV EBX,dump.100236F0                     ASCII "Software\LeechFTP"
10012D75   MOV ESI,dump.10023704                     ASCII "bookmark.dat"
10012DA4   PUSH dump.10023714                        ASCII "LocalDir"
10012E04   PUSH dump.10023720                        ASCII "CLSID\{11C1D741-A95B-11d2-8A80-0080ADB32FF4}\InProcServer32"
10012E2A   PUSH dump.1002375C                        ASCII "sites.db"
10012E65   PUSH dump.10023768                        ASCII "servers.xml"
10012E6A   PUSH dump.10023774                        ASCII "\FTPGetter"
10012E9B   PUSH dump.10023780                        ASCII "ESTdb2.dat"
10012EA0   MOV EDI,dump.1002378C                     ASCII "\Estsoft\ALFTP"
10012EB0   PUSH dump.1002379C                        ASCII "QData.dat"
10012EDE   PUSH dump.100237A8                        ASCII "SM.arch"
10012EE3   PUSH dump.100237B0                        ASCII "\Global Downloader"
10012F16   PUSH dump.100237C4                        ASCII "FTP++.Link\shell\open\command"
10012F4F   PUSH dump.100237E4                        ASCII ".fpl"
10012F8B   PUSH dump.100237EC                        ASCII ".xfp"
10012F90   PUSH dump.100237F4                        ASCII "\NetSarang"
10012FBB   PUSH dump.10023800                        ASCII "NppFTP.xml"
10012FC0   PUSH dump.1002380C                        ASCII "\Notepad++"
10012FF2   PUSH dump.10023818                        ASCII "DataDir"
10012FF7   PUSH dump.10023820                        ASCII "Software\MAS-Soft\FTPInfo\Setup"
1001300C   MOV EDI,dump.10023840                     ASCII "ServerList.xml"
1001303C   PUSH dump.10023850                        ASCII "\FTPInfo"
10013068   PUSH dump.1002385C                        ASCII "NovaFTP.db"
1001306D   PUSH dump.10023868                        ASCII "\INSoftware\NovaFTP"
100130AC   PUSH dump.1002387C                        ASCII "UltraFXP"
100130BE   PUSH dump.10023888                        ASCII "\sites.xml"
1001312B   PUSH dump.10023894                        ASCII "\GPSoftware\Directory Opus"
10013146   PUSH dump.100238B0                        ASCII ".oxc"
1001315F   PUSH dump.100238B8                        ASCII ".oll"
10013178   PUSH dump.100238C0                        ASCII "ftplast.osd"
1001321E   PUSH dump.100238CC                        ASCII "\SharedSettings.ccs"
10013241   PUSH dump.100238E0                        ASCII "\SharedSettings.sqlite"
1001325F   PUSH dump.100238F8                        ASCII "\SharedSettings_1_0_5.ccs"
1001327C   PUSH dump.10023914                        ASCII "\SharedSettings_1_0_5.sqlite"
100132CC   MOV EDI,dump.10023934                     ASCII "\CoffeeCup Software"
10013331   PUSH dump.10023948                        ASCII "\32BitFtp.ini"
10013393   PUSH dump.10023958                        ASCII "FTPCON"
100133A0   PUSH dump.10023960                        ASCII "FTP CONTROL"
100133AE   PUSH dump.1002396C                        ASCII "\Profiles"
100133CA   PUSH dump.10023978                        ASCII ".prf"
1001340C   PUSH dump.10023980                        ASCII "FTPVoyager.ftp"
10013411   MOV EDI,dump.10023990                     ASCII "\RhinoSoft.com"
10013424   PUSH dump.100239A0                        ASCII "FTPVoyager.qc"
10013435   PUSH dump.100239B0                        ASCII "FTPVoyager.Archive"
1001343A   PUSH dump.100239C4                        ASCII "\RhinoSoft"
10013472   MOV EDI,dump.100239D0                     ASCII "SiteInfo.QFP"
100134A0   PUSH dump.100239E0                        ASCII "Odin"
10013521   PUSH dump.100239E8                        ASCII "WinFTP"
1001354C   PUSH dump.100234DC                        ASCII "Favorites.dat"
100135A1   PUSH dump.100239F0                        ASCII "DeluxeFTP"
100135CC   PUSH dump.100239FC                        ASCII "sites.xml"
10013621   PUSH dump.10023A08                        ASCII "Staff-FTP"
1001364B   PUSH dump.10023A14                        ASCII "sites.ini"


Shell en sitio comprometido

 Spammer.




El único que le pego...



Muestra : https://www.dropbox.com/s/0s6pkge881z8631/Win32Vawtrak.-26-08-13.zip

Password = infected


Gracias Raúl  !!!!



Es todo por el momento....



@Dkavalanche 2013






 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!