miércoles, 5 de octubre de 2016

Nuestro BOT ha crecido!!!

En estos días se ha recibido varios archivos para analizar.

Los datos de los susodichos son:

Nombre:  blood.dat
Md5: BF8A28BD6F426C4AC7A6295A9C120A0D

Nombre: config.dat
Md5: BF8A28BD6F426C4AC7A6295A9C120A0D

Nombre: system.vbs
Md5: FBD2172DD8B2A745188D53ECC151FF0F

El primero que se reviso es el último de los archivos comentados: system.vbs

En él se encontró el siguiente código:










Código encontrado en el archivo: system.vbs

En visto del código visualizado y de que los otros dos ficheros son en definitiva el mismo, se selecciono uno al azar para descrifrarlo, tal y como se hizo en la entrada anterior a esta: http://4null0.blogspot.com.es/2016/09/botnet-de-verano-para-mi.html


























Archivo: blood.dat, antes de descifrarlo




























Archivo: blood.dat, después de descifrarlo

Se revisó el código, encontrando tantas similitudes con el analizado en la serie de entradas:


, que se puede decir que estamos ante una nueva versión del bot (de 34.12 se ha pasado a la 39.13).



















Versión de código del bot


Por lo que sólo se procederá a comentar los datos de interés, de este

1.- Se crean/modifican las siguientes claves de registro

HKCU\Software\Microsoft\Windows Script Host\Settings\Timeout=0
HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr=0
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rescue=%allusersprofile%\rescue.vbe
HKLM\software\microsoft\windows\currentversion\policies\system\consentpromptbehavioradmin=0
HKLM\software\microsoft\windows\currentversion\policies\system\enablelua=0


2.- Se crean/modifican las siguientes claves de registro para auto-defensa

HKEY_CLASSES_ROOT\Applications\Notepad2.exe\shell\open\command=%SystemRoot%\System32\Notepad.exe
HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\open\command=%SystemRoot%\System32\Notepad.exe
HKEY_CLASSES_ROOT\Batfile\Shell\Edit\Command=%SystemRoot%\System32\Notepad.exe
HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command\=%SystemRoot%\System32\Notepad.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden=2
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden=0

3.- Se crean las siguientes carpetas y archivos

%systemdrive%\security\blood.dat
%systemdrive%\security\svchost.exe
%systemdrive%\security\zoneh.dat
%systemdrive%\security\zoneh.exe
%systemdrive%\security\bump.jpg
%systemdrive%\security\bump.vbe
%systemdrive%\security\av.jpg
%systemdrive%\security\av.bat
%systemdrive%\security\system.jpg
%systemdrive%\security\system.exe
%systemdrive%\security\explorer.jpg
%systemdrive%\security\explorer.exe
%systemdrive%\security\update.jpg
%systemdrive%\security\update.exe
%systemdrive%\kernel\update.jpg
%systemdrive%\kernel\update.exe
%systemdrive%\kernel\explorer.jpg
%systemdrive%\kernel\explorer.exe
%systemdrive%\kernel\system.jpg
%systemdrive%\kernel\system.exe
%systemdrive%\kernel\av.jpg
%systemdrive%\kernel\av.bat
%systemdrive%\kernel\bump.jpg
%systemdrive%\kernel\bump.vbe
%systemdrive%\kernel\zoneh.dat
%systemdrive%\kernel\zoneh.exe
%systemdrive%\kernel\blood.dat
%systemdrive%\kernel\svchost.exe
%systemdrive%\kernel\r00t3r
%systemroot%\system32\system\msg\config.txt
%temp%\uac.bat
%temp%\ADMIN.vbe
%temp%\CPBA.bat
%temp%\tp.vbe
%temp%\tmp.bat
%temp%\booter.dat
%temp%\reskp.exe

4.- Peticiones hacía Internet (URLs)

http://sauvegarde.1x.biz/booter.dat
http://registered.co.nf/sat39/index.php
http://zoneh.me.pn/zoneh.dat
http://users2.Jabry.com/mysiteweb2/bump.jpg
http://newsonline.125mb.com/av.jpg
http://mysiteweb.eu5.org/system.jpg
http://mysiteweb.freezoy.com/explorer.jpg
http://babybot.125mb.com/update.jpg

5.- Método de propagación

El método de propagación se realiza a través de las unidades compartidas/pendrives que tenga enlazadas el host.

A esas unidades compartidas/drives se copian los archivos ".dat" de las carpetas:

1.- %systemdrive%\security
2.- %systemdrive%\kernel

Se renombran y se establecen los atributos del sistema y ocultos, y por último, se crean enlaces por cada archivo encontrado y se ocultan los archivos originales.

RESPUESTA DEL ENTORNO AV

Según VirusTotal y sus motores, SÓLO 11 de 56 motores, califican a el archivo con md5: BF8A28BD6F426C4AC7A6295A9C120A0D, como malicioso.

Si se tiene constancia de dicho archivo en VirusTotal desde hace más de un año.

Más información:

https://virustotal.com/es/file/b41a2670d3beb228e811c6925e2ecae91c1c96610bbb86c3926eeb9d452b3aa4/analysis/






No hay comentarios:

Publicar un comentario