martes, 7 de julio de 2015

Análisis del "632.exe"

Se procede a investigar el archivo con :

Nombre: 632.exe
MD5: CB099EC04BFE4E693F23D84D8F12B66E

Se ha procedido a descarga 4 muestras con distintos navegadores para poder determinar la cantidad de muestras que se despliegan desde la URL: NEXTEXPRESSCOMPANY.COM/253/632.EXE

Sólo se ha encontrado una muestra, que es el hash MD5 referenciado al principio.


Hashes MD5 de las muestras descargadas

Se realiza un análisis estático de una de las muestras, obteniendo datos tan interesantes como que el nombre oficial del archivo es: Rope.exe, que internamente el fichero contiene a su vez otro archivo como MD5: D40DBD523A7518315888457D013D0C3, así como algunos datos más.



















Archivo examinado con “pestudio”

También cabe destacar a en la fecha en la que se escribe este documento, que los motores de la sandbox de VirusTotal que detecta dicho ejecutable como malicioso son 4 de 55, tal y como se puede apreciar en la imagen anterior.

Más información:

https://www.virustotal.com/en/file/666c728d093b39e796508d652a90fe75c9e636d307ab23ed921f542d1a4a983a/analysis/

El archivo que contiene el fichero a examen se encuentra ubicado en la posición: 0x00020000, y ocupa 62535 bytes






















Datos sobre el archivo incluido en el fichero a examen.

Las librerías incluidas en el fichero son descritas en la siguiente imagen:


DLLs incluidas en el fichero a estudio

Se procede a ejecutar una de las muestras en un equipo controlado.

1.- DDL llamadas en ejecución

           DLLs que llama en tiempo de ejecución
               
2.- Operaciones del proceso

En el entorno donde se ha lanzado la ejecución, NO se ha detectado crea ningún proceso hijo.

La no ejecución pudiera ser provocada por la posible detección por parte del fichero a examen de su ejecución en un entorno virtualizado.

3.- Operaciones en el registro de Windows


Información leída del registro

4.- Operaciones de red

Se detectan varias comunicaciones salientes hacía varias direcciones distintas de Internet. Estás conexiones no utilizan protocolo HTTP/HTTPS, sino que se fundamentan exclusivamente en conexiones TCP mediante sockets creados directamente por el fichero a estudio.












Ninguna petición HTTP detectada


Conexiones NO TCP detectadas -1


Conexiones NO TCP detectadas -2

Se detecta también que si una conexión no responde o responde de manera inadecuada, se solicita un intento de conexión hacía otra IP almacena en el propio fichero a examen.

Intentos de conexión detectados

En estas comunicaciones TCP, que se producen hacía el puerto 448/TCP, se intercambia información.



Flujo TCP establecido con la dirección IP: 62.210.214.106

Se prueba a conectar con el servidor ubicado en la IP: 62.210.214.106, a través del puerto 448, obteniéndose como respuesta código html.

Conexión con el servidor 62.210.214.106 por el puerto 448


Si utilizamos un navegador para realizar tal petición obtenemos la siguiente respuesta.

Conexión con el servidor 62.210.214.106 por el puerto 448 mediante un navegador estándar.

Si realizamos la misma operación pero utilizando el protocolo HTTPS, obtenemos la siguiente respuesta.


Conexión con el servidor 62.210.214.106 por el puerto 448 mediante un navegador estándar y utilizando el protocolo HTTPS.

Si intentamos conectarnos con las otras dos IPs de la misma manera que acabamos de hacer nos encontramos que dichas IPs no responden a nuestra petición.


Conexiones Telnet contra la otras IPs detectadas

Solicitamos información sobre el propietario de la IP: 62.210.214.106, obteniendo como resultado el nombre de una empresa de hosting francesa.


Información sobre la IP 62.210.214.106




No hay comentarios:

Publicar un comentario