Weblog de JaCkSecurity

Siguiendo con el análisis sintetizado del malware anterior, se observó el siguiente hallazgo en VirusTotal.

Análisis del archivo Software.BBVAperu.exe recibido el 21.09.2007 22:44:45 (CET)

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.9.22.0 2007.09.21 –
AntiVir 7.6.0.15 2007.09.21 –
Authentium 4.93.8 2007.09.21 –
Avast 4.7.1043.0 2007.09.21 –
AVG 7.5.0.485 2007.09.21 –
BitDefender 7.2 2007.09.21 –
CAT-QuickHeal 9.00 2007.09.21 W32.Brontok.Q
ClamAV 0.91.2 2007.09.21 –
DrWeb 4.33 2007.09.21 –
eSafe 7.0.15.0 2007.09.19 suspicious Trojan/Worm
eTrust-Vet 31.2.5154 2007.09.21 –
Ewido 4.0 2007.09.20 –
FileAdvisor 1 2007.09.21 –
Fortinet 3.11.0.0 2007.09.21 –
F-Prot 4.3.2.48 2007.09.21 –
F-Secure 6.70.13030.0 2007.09.21 –
Ikarus T3.1.1.12 2007.09.21 –
Kaspersky 4.0.2.24 2007.09.21 –
McAfee 5125 2007.09.21 –
Microsoft 1.2803 2007.09.21 –
NOD32v2 2544 2007.09.21 –
Norman 5.80.02 2007.09.21 W32/Suspicious_M.gen
Panda 9.0.0.4 2007.09.21 Suspicious file
Prevx1 V2 2007.09.21 –
Rising 19.41.42.00 2007.09.21 –
Sophos 4.21.0 2007.09.21 Mal/Packer
Sunbelt 2.2.907.0 2007.09.20 VIPRE.Suspicious
Symantec 10 2007.09.21 –
TheHacker 6.2.5.064 2007.09.21 W32/Behav-Heuristic-066
VBA32 3.12.2.4 2007.09.20 –
VirusBuster 4.3.26:9 2007.09.21 Packed/MEW
Webwasher-Gateway 6.0.1 2007.09.21 Win32.Malware.gen#MEW (suspicious)
Información adicional
Tama?rchivo: 77878 bytes
MD5: e620a25ba56dea87fe6bb1004284298e
SHA1: 980a1074bf19c7e1f9bc4d6b0a0160ba64ceb157
packers: MEW
packers: MEW
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Un ranking nada malo, para un malware que no tiene mucha complejidad de evasión (UPX, anti-debugging, etc). Esto último debido a que usa un artificio bastante viejo (quizás todavía útil), al modificar el archivo host del sistema infectado c:\windows\system32\drivers\etc, como sigue:

66.227.127.163 www.[nombre-banco].com
66.227.127.163 [nombre-banco].com]

Dirección que pertenece a otro proveedor de hosting web en Exton, PA (USA). Una réplica exacta al sitio web original.

Sin embargo, haciendo un examen muy sutil de los enlaces, se determinó que en el sitio web falso no enviaba a sitios ajenos al de la compañía original. Algo muy extraño, para tan elaborado esquema de fraude.

Una idea posible es, la intención del atacante de sensar el número de usuarios que van a caer en esta trampa.

Desde hace varias semanas atrás, varios escritores de malware están aprovechando la imagen de instituciones, de las que se supone se preocupan por la seguridad de sus usuarios informáticos o del público en general (generalmente con el ardid de una herramienta anti-phishing). Prueba de ello es el siguiente correo que llegó a un dominio peruano, hace unas pocas horas.

Al analizar rápidamente el mensaje engañoso se descubre:

1. Dirección IP del host donde se halla el malware, siendo este uno como “http://xx.yyy.201.115/Software.BBVAperu.exe, proveniente de un aparente servidor de hosting web hackeado en Chicago, IL (USA), en la que además se observa una imagen muy sugerente que proviene de un servidor aparentemente aislado a estos hechos (FantasyMundo.com).

2. Dirección IP del host de donde fue emitido el correo, siendo éste uno como xx.yyy.150.29, proveniente de un servidor (también, posiblemente hackead) ubicado en España, que redirecciona a una aplicación webmail (Horde) en el mismo servidor.

3. Direcciones IP (dentro del código html fraudulento) de la imagen relativa a la entidad que se procura falsificar, que responde DiaDeNegocios.com.ar y VisaNet Perú, una buena forma de evadir la técnica de contra phishing que publicase este blog en pasadas fechas.