sábado, 3 de octubre de 2015

Análisis del "2015-AUGUS-INVOICE.doc" - parte 2

Tras descubrir la macro y la función que contenía el código camuflado, se procede a analizar el procedimiento: BadlooDcurl()


Ejecución paso a paso del procedimiento BadlooDcurl()

La variable: “IaInpkUCvOFAvgGcHPIp”, almacena el valor: ewqpkXiyzHDgLzMxtKsz.exe


Valor contenido en la variable “ IaInpkUCvOFAvgGcHPIp”

La variable: “XQBcNCnHTknMoayrNMJU”, almacena una ubicación, concretamente la carpeta “Temp” del usuario que ejecuta el documento.



Valor contenido en la variable “XQBcNCnHTknMoayrNMJU”


La variable: “XQBcNCnHTknMoayrNMJU”, almacena una URL: “firstrepubllic.com/bhost.exe”



Valor contenido en la variable “tgpTxuNFxowklLUCkvoj”


La función: “ApMLroswpTJxUSSfwxYW”, solicita la descarga del ejecutable ubicado en la web “firstrepublic” y lo almacena en la carpeta “Temp”, comentada anteriormente, con el nombre del ejecutable: “ewqpkXiyzHDgLzMxtKsz.exe”




Funcionalidad de la función “ApMLroswpTJxUSSfwxYW”

Y por último se procede a ejecutar el archivo descargado mediante la función: “KbtCMtGNZZwfklI




Funcionalidad de la función “KbtCMtGNZZwfklI”

Comentar que cuando se ha intentado descarga el archivo: “bhost.exe”, de la ubicación localizada nos hemos encontrado con que no se resuelve la petición DNS.


Petición DNS no resuelta

Aun así, hemos procedido a preguntar por la reputación de dicha URL, encontrándonos que 7 de 65 motores, consideran que dicha página es maliciosa (ver).

En dicha página también se puede observar el análisis realizado para el archivo descargado.

Conclusión

En vista de lo anterior, recomendamos bloquear las URLs:

firstrepubllic.com/bhost.exe

Así como los archivos con MD5:


229397852fa5a9a7b8a6927cb1e32b87 (Se corresponde con el MD5 del archivo bhost.exe)

No hay comentarios:

Publicar un comentario