Tecnologia da Informação: Segue em anexo comprovante de depósito

Bom vamos analisar o arquivo desta semana com o sugestivo assunto "Segue em anexo comprovante de depósito"

O serviço de e-mail bem que tenta avisar sobre o risco ao clicar em um link externo

Tudo começa com um link apontando para o endereço: "http://www.assefesc.org.br/admin/admin/geral/insercoes/fotos/Comprovante-Pagamento.com"

Dando uma olhada no endereço percebemos que o site "http://www.assefesc.org.br" é um endereço de uma instituição seria não criado para este fim.

de acordo com whois do registro BR o nome da entidade é Ass. Serv. da Secretaria da Fazenda de SC com CNPJ tudo certinho

até aqui já sabemos que devemos denunciar para "cert@cert.br" "mail-abuse@cert.br" "assefesc@fastlane.com.br" "rafael.lessa@unisul.br"

continuando vamos baixar o arquivo com o "wget" e obter o endereço ip do servidor

______________________________________________________________________

wget -c http://www.assefesc.org.br/admin/admin/geral/insercoes/fotos/Comprovante-Pagamento.com

--2012-08-08 23:57:35-- http://www.assefesc.org.br/admin/admin/geral/insercoes/fotos/Comprovante-Pagamento.com

Resolvendo www.assefesc.org.br (www.assefesc.org.br)... 200.201.195.182

Conectando-se a www.assefesc.org.br (www.assefesc.org.br)|200.201.195.182|:80... conectado.

A requisição HTTP foi enviada, aguardando resposta... 200 OK

Tamanho: 126464 (124K) [text/plain]

Salvando em: “Comprovante-Pagamento.com”

100%[=========================>] 126.464 453K/s em 0,3s

2012-08-08 23:57:41 (453 KB/s) - “Comprovante-Pagamento.com” salvo [126464/126464]

____________________________________________________________________

analisando o ip chegamos na empresa responsavel "PELOS IPS"

____________________________________________________________________

inetnum: 200.201.192/18

aut-num: AS10733

abuse-c: RDS2

owner: MATRIX INTERNET S.A.

e-mail: gerope@matrix.com.br

_______________________________________________________________________

apos o download do arquivo verificamos com o comando "file"

_______________________________________________________________________

file Comprovante-Pagamento.com

Comprovante-Pagamento.com: PE32 executable (GUI) Intel 80386, for MS Windows

_______________________________________________________________________

para quem ainda tinha duvidas temos um comprovante de pagamento executavel e de acordo com o "pyew" não tem nenhum packer e foi feito em Delphi

[0x00000000]> packer

Borland Delphi 3.0 (???)

Borland Delphi 4.0

Borland Delphi v3.0

Borland Delphi v6.0 - v7.0

Borland Delphi v3.0

BobSoft Mini Delphi -> BoB / BobSoft

[0x00000000]>

Chegou a hora de desmontarmos nosso brinquedo e ver como funciona vamos para a maquina virtual só pra confirmar vamos executar o "exeinfope"

Bom agora vamos inicializar o "OllyDbg"

Começamos procurando pelas strings do executavel

De cara percebemos que sempre que se precisa utilzar uma string na sequencia é realizada uma chamada para função no endereço 00417A78

Colocamos um break point na referida função e mandamos executar o aplicativo ao parar na chamada da função utilizamos um "Step Over (F8) e obtemos o retorno da função ou seja a string descriptografada"

Mas esta "criptografia não muito elaborada" é simples pois somente acrescentam-se os caracteres "#@*" na string verdadeira, utilizando o "TextScan" obtemos todas as strings embaralhadas

Exportamos para um arquivo de texto e utilizamos o comando:

_________________________________________________________________________

cat string.txt | tr -d @#* >> Novo.txt

__________________________________________________________________________

Obtemos assim um arquivo com este conteudo:

__________________________________________________________________________

http://200.98.139.149/magao/inf1/xmaq,,

AvgTrayMainWnd

CAvastTrayIcon

Avira AntiVir Personal - Free Antivirus - SysTray

ESET Client Frame

wx5.exe

wx5.jpg

http://200.98.139.149/magao/wx5.jpg,,

wx5.jpg,,

open,,

wx1.cpl,,

wx1.jpg,,

http://200.98.139.149/magao/wx1.jpg,,

wx2.cpl,,

wx2.jpg,,

http://200.98.139.149/magao/wx2.jpg,,

wx3.cpl,,

wx3.jpg,,

http://200.98.139.149/magao/wx3.jpg,,

wx3c.dll,,

wx3c.jpg,,

http://200.98.139.149/magao/wx3c.jpg,,

wx6.cpl,,

wx6.jpg,,

http://200.98.139.149/magao/wx6.jpg,,

wx7.cpl,,

wx7.jpg,,

http://200.98.139.149/magao/wx7.jpg,,

reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v wx1 /d "wx1.cpl" /f

reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v wx2 /d "wx2.cpl" /f

reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v wx3 /d "wx3.cpl" /f

reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v wx5 /d "wx5.exe" /f

reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v wx6 /d "wx6.cpl" /f

reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v wx7 /d "wx7.cpl" /f

RunDLL32.exe Shell32.DLL, Control_RunDLL

wx5.exe,,

wx6wx6.cpl,,

avg ,,

Avast ,,

avira ,,

nod ,,

http://200.98.139.149/magao/infect/inf1/index.php?chave=xchave&url=,,

_____________________________________________________________________________

Utilizando o ip "200.98.139.149" chegamos na empresa responsavel e no contato para denunciar

inetnum: 200.98/16

aut-num: AS15201

abuse-c: SEO50

owner: Universo Online S.A.

ownerid: 001.109.184/0001-95

responsible: Contato da Entidade UOL

country: BR

person: Security Office

e-mail: security@uol.com.br

Vamos visitar o nosso amigo "magão" "http://200.98.139.149/magao" e ver o que nos espera

Temos até um controle de versão

Neste caso estamos lidando com um malware que realiza o download de outros arquivos ("downloader") para poder continuar o seu funcionamento na verdade mais 6 arquivos são baixados:

http://200.98.139.149/magao/wx1.jpg

http://200.98.139.149/magao/wx2.jpg

http://200.98.139.149/magao/wx3.jpg

http://200.98.139.149/magao/wx3c.jpg

http://200.98.139.149/magao/wx6.jpg

http://200.98.139.149/magao/wx7.jpg

Durante a execução do arquivo principal "Comprovante-Pagamento.com" é realizado o download destse arquivos *.jpg, depois ele realiza uma modificação nestes arquivos tranformando-os em arquivos com extenção *.cpl (Aplicativo do painel de controle do windows) modificando tambem as chaves de registro

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Fazendo com que estes aplicativos sejam executados automaticamente durante o boot do sistema vamos analisar os arquivos e ver o que descobrimos

Começo abrindo o IDA

## WX1.CPL ##

No arquivo "wx1.cpl" observo que existe algumas referencias ao nomes: "gethostbyaddr","gethostbyname","getservbyport" algo me diz que ele pode querer usar a internet....

Utilizando o "Txtscan" exportei para um arquivo as strings que segue o mesmo padrão das anteriores

Retirei os caracteres especiais

E obtive mais dois endereços interessantes na mesma faixa IP já utilizada e algumas strings sugestivas onde parace que o alvo seria sites de bancos (fora algumas modificações no registro do windows)

"http://200.98.137.173/magao/pjct1.html "

"http://200.98.137.173/magao/upx.html"

Hoje é dia 18/08/2012 tenho tentando acessar os endereços envolvidos a pelo menos três dias, e ao que parece os endereços utilizados não estão mais disponíveis

http://www.assefesc.org.br/admin/admin/geral/insercoes/fotos/Comprovante-Pagamento.com

http://200.98.137.173/magao/pjct1.html

http://200.98.139.149/magao/

O estranho é que até o sie "http://www.assefesc.org.br" esta fora.........caso estes endereços voltem a operar prosseguirei com a analise. Por hora vou finalizar por aqui....Obrigado e até a próxima.

Tecnologia da Informação

segunda-feira, 13 de agosto de 2012

Segue em anexo comprovante de depósito

Nenhum comentário:

Postar um comentário