En unas de mis cuentas personales, con fecha 09 de enero 2008, recibí un falso aviso de Telefónica que contenía un enlace hacia un supuesto antivirus importante para mi seguridad.
Nombre: AV-Speedy.exe
Tamano archivo: 192512 bytes
MD5: 2196150802bc7b9d5448f918ef0c4e04
SHA1: 16c486e892e41876210992d1544b40d9ba0fcbaf
Al correrlo en máquinas virtuales, primero con bajos privilegios (con resultado inexitoso para el malware), y luego con altos privilegios, capturé lo siguiente:
Vía netstat
Conexiones activas
Proto Dirección local Dirección remota Estado PID
TCP 192.168.131.65:1039 67.159.45.52:80 ESTABLISHED 248
[AV-Speedy.exe]
Vía windump
Tráfico de la captura autómata
Iniciado inmediatamente después de ejecutar el código AV-speed.exe, se observaron los siguientes datos importantes:
Guest virtual: 192.168.131.65
1er. destino: 200.48.225.130 (DNS de Telefónica) – dato ligeramente irrelevante
2do. destino: 67.159.45.52 (www.proxymafia.net) – comando central del malware
Data dentro del tráfico autómata
Al revisar, someramente, el contenido de la captura, se observó los siguientes datos importantes:
1er. dato: www.proxymafia.net (consultado vía DNS, al DNS por defecto de la PC virtual)
2do. dato: GET./surf.php (primer pedido del malware al comando central)
q=aHR0cDovL2JyaWFuc2VhZ3JhdmVzLmNvbS9wcm9maWxlcy9ob3N0LnR4dA%3D%3D&hl=3ed
3er. dato: host.txt (información enviada por comando central al malware)
66.49.193.228 www.hotmail.com
66.49.193.228 hotmail.com
66.49.193.228 www.viabcp.com
66.49.193.228 viabcp.com
Análisis de los datos extraidos
A) Proxymafia.net (67.159.45.52)
Perteneciente a una compañía inglesía y registrado vía GoDaddy.
Consulta vía www.netsol.com
Registrant:
Jack Cator
BCM Netco Solutions
London, WC1N3XX
United Kingdom
Created on: 30-Nov-06
Expires on: 30-Nov-08
Last Updated on: 30-Nov-07
B) anonr.com (DNS Provider)
Perteneciente a la misma compañía inglesía, vea la dirección IP (incluso).
Consulta vía DNS y www.netsol.com
proxymafia.net nameserver = ns1.anonr.com
proxymafia.net nameserver = ns2.anonr.com
ns1.anonr.com internet address = 75.126.48.147
ns2.anonr.com internet address = 67.159.45.52
Created on: 18-Oct-06
Expires on: 18-Oct-08
Last Updated on: 18-Oct-07
C) 66.49.193.228 (pharming)
Vía un get a http://66.49.193.228/, responde la comunidad Cardcaptor Redeemer. Curiosamente el argumento de CardCaptor se basa en que la protagonista tiene que capturar cierto número de tarjetas. Tal parece que quien hace esto, lo ve en cierto modo cómico o en juego.
Conclusiones tempranas
El código del comando central del malware, que no es una botnet, sigue activo en el web www.proxymafia.net. No es determinable el precisar, si la principal institución afectada por este pharming hizo o no algo por eliminar el código surf.php de la web de www.proxymafia.net. Sin embargo, si es concluyente que desde el 09/01/2008 hasta 21 días luego de mi análisis, el comando central sigue activo. Resta aún analizar otros componentes como la visita simulada a la web medicada www.viabcp.com desde esta PC virtual infectada.
JaCkSecurity, Staff
conocimiento, conciencia y consultoría
