En un blog de seguridad, se habla de la URL: 5.175.145.181/ljurbg/btieste.zip (MD5: 69cdb6a190fdf47430978ca795c43c4e).
Se comprueba que el archivo sigue disponible en la web, por lo que se
procede a su descarga.
Se comprueba que el archivo descargado es exactamente un archivo .zip,
pero que el contenido del mismo, que resulta ser un archivo con extensión .txt
(pirjmfr32.txt, MD5: 0192e031501719952f395559b0aad14e) es un ejecutable para
sistemas Windows.
Tipos de los archivos
descargados.
Se realiza un análisis estático del archivo con extensión “.txt”.
En este caso,
una imagen vale más que mil palabras.
Análisis estático del
archivo con extensión .txt
De la información obtenida, resultan llamativas ciertas funciones que
utiliza, que en un primer momento nos dicen que este ejecutable recoge
información del host y la envía hacía algún destino en Internet, aunque no se
puede descartar nada.
Muestra de funciones
utilizadas por el ejecutable
Las cadenas detectadas en el archivo, nos ponen más alerta aún.
Algunas cadenas
significativas.
Para finalizar el análisis estático, comentar que todo apunta a que
este archivo contiene embebido uno o varios archivos más. De ahí podríamos
explicar el tamaño excesivo del archivo.
Tamaño del archivo
Indicadores que alertan sobre
la existencia de uno o dos archivos embebidos.
Se procede a introducirlo en una sandbox para que se analice su
comportamiento de manera dinámica. Obteniéndose los siguientes datos:
Valoraciones según el comportamiento. Visión generalista.
Valoraciones más concretas
del comportamiento.
Archivos creados por el
ejecutable
NOTA: El MD5 no concuerda con los
analizados de manera estática.
Operaciones de archivos
detectadas
NOTA: El ejecutable crea el
archivo “aut2.tmp” en la carpeta temporal asociada al usuario que lanza el
ejecutable investigado, el cual será posteriormente copiado a: “C:\Program
Files\...\Temp\UAuHGTiCrEUenjTYfleBGEeNEg”.
Así mismo, busca en el sistema de archivo la existencia de varios
archivos para dictaminar si dicho hosts ya se encuentra infectado o no, así
como la existencia de los AV; Avast y AVG.
Actividades en el Registro de Windows
NOTA: Lo más significativo es que
el archivo ejecutado se cuela en el proceso de inicio del sistema.
Actividades del proceso
asociado al ejecutable.
NOTA: Busca información sobre las
variables del sistema así como los procesos que actualmente ejecuta el sistema.
En relación a las actividades de red, se utiliza una sandbox preparada
para la recolección de dichos datos.
Se produce una conexión con la URL: hostbemore.com/count/post.php
Conexión tras la infección
Buscando
información del dominio nos encontramos con:
Información del dominio
Información del dominio
ANEXO 1
Se ha procedido a determinar
el tipo del archivo de nombre: “UAuHGTiCrEUenjTYfleBGEeNEg”. Encontrándose que
dicho archivo contiene exclusivamente datos
Tipo de archivo
Conclusión
En vista de
lo anterior, en nuestros sistemas deberemos mitigar las visitas a las URLs:
5.175.145.181/ljurbg/btieste.zip
hostbemore.com/count/post.php
,y los archivos con MD5:
69cdb6a190fdf47430978ca795c43c4e
0192e031501719952f395559b0aad14e
4751f68dc7fc4ba8bf8b5cd0d286bdf5