martes, 11 de agosto de 2015

Análisis del "invoice-10232.doc"

Se analizan los cuatro ficheros de:

Nombre:               invoice-10232.doc
y, MD5:                 6FE25C5CA158DA7781E08304C71D87C7
                            E3F30C2195C565E88A8534B15C7B942E
                            BA4EC70AA2179BE4387A4AEF10A8CD4F
                            240F7CDAE48B7F9BE5A0A605825255AE

Todos los documentos poseen el mismo código en la macro de inicio, que se ejecutará nada más abrirse el documento:

Macro de inicio

La función/procedimiento "FBFILE_FORMAT_1()" en todos ellos se compone del siguiente código:

Código de la función Función "FBFILE_FORMAT_1()"

Si sustituimos la función "Chr(xxx)" por su correspondiente código ASCII, obtendremos:

Código traducido

Del código obtenido, se remarca los siguientes puntos:

1.- La función "hCurDir_2()", que es igual en todos los documentos, y realiza dos tareas; reemplaza las caracteres "<", "=" y ";" y crea el objeto.

Función "hCurDir_2()"

2.- La creación del archivo "TEMP\ceece.exe"

3.- La descarga/escritura mediante un objeto "Adodb.Stream" de "algo" definido en la función "usZ5pw3gU8()". Está función es la única que NO es igual, y  consiste en el siguiente código:

Función "usZ5pw3gU8()"

Si sustituimos la función "Chr(xxx)" por su correspondiente código ASCII, obtendremos:

Código traducido

En el código vemos que se crea un objeto XMLHTTP para la descarga de un ejecutable.

4.- El procedimiento "mp3_cbr_aktivate()", que es igual en todos los documentos, salva el archivo descargado en el archivo creado anteriormente, y que en nuestro caso es: "ceece.exe"

Procedimiento "mp3_cbr_aktivate()"

Conclusiones

1.- Aunque se sigue utilizando la ofuscación mediante el uso de la función "Chr()", los creadores de estos lanzadores están empezando a complicar el código para dificultar su análisis.

2.- Las URLs detectadas han sido:

BHARAWANDADHABA.IN/435RG4/3245RD2.EXE
MBMOMTI.COM.BR/435RG4/3245RD2.EXE
J-CHOI.ASIA/435RG4/3245RD2.EXE
GARDINFO.NET/435RG4/3245RD2.EXE

3.- Todas las URLs anteriores no se han encontrado activas, por lo que no se ha podido descargar los archivos para su análisis.

4.- Cuando se analizó los distintos MD5 a través de VirusTotal, los motores que detectaban los distintos archivos eran 5. Los enlaces son:

https://www.virustotal.com/es/file/cf24a2f8d08584f6ea2fbfcaa2f43caf5d77365aef977a678201cf1c4c037d31/analysis/
 https://www.virustotal.com/es/file/0d917831636f69503b6f0a96e27958c1727303042c7832e36c8516292e5f1165/analysis/
 https://www.virustotal.com/es/file/9713d769565afab2b1466819aca81f7bcfefb10b978e92fe66d2146e253cc04e/analysis/
 https://www.virustotal.com/es/file/2eac3af6e6d37a946a4b3f1ed99757f871f75fa38dc6527f7d5c2a76ee63f3ad/analysis/

                                                                           

No hay comentarios:

Publicar un comentario