Durante el día de ayer llego a mis manos dos
archivos con las siguientes características:
Nombre:
Manuel.doc
MD5: cc2db35f43b4a12700c431811a463439
Nombre:
SysinfY2X.db
MD5: cc2db35f43b4a12700c431811a463439
MD5 de los archivos a analizar
Se busco información en VirusTotal, obtenemos que
31 motores lo detectan como malicioso.
Más
información:
https://virustotal.com/es/file/fe9c78249937d57aaed2792238caeea298e715d9cf261add1fbfbaeeab084d40/analysis/
A continuación se procedió a intentar sacar algo
más de jugo al documento ofimático, ya sabéis una/s URL/s, archivo embebido, etc.
Pero al comprobar si realmente nos encontrábamos
ante un documento ofimático nos encontramos con ...
Tipo de archivos
Al abrir con el bloc de notas el archivo
"Manuel.doc", se encontró:
Contenido del archivo: "Manuel.doc"
En ese momento, se recordó la siguiente entrada del
blog: http://4null0.blogspot.com.es/2016/02/analizando-el-archivo-updatedat.html,
en donde se trabajó con las extensiones: vbs y vbe.
Por lo que se procedió a descifrar mediante el
descifrador que se utilizó la vez anterior.
Una vez hecho, se encontró:
Código tras descifrar el archivo: "Manuel.doc"
¡¡Genial!!, un hermoso código que estudiar, y del
cual escribir.
Por ahora, comento lo fundamental para que se tomen
las contramedidas oportunas:
0.- MD5 de los archivos: cc2db35f43b4a12700c431811a463439
1.- Sustituye, dentro cada unidad de red que se
encuentre en el ordenador exceptuando la unidad C:, los archivos por enlaces.
Estos enlaces lanzarán el archivo : Manuel.doc, tras cuya ejecución lanzará el
archivo original, este último tendrá atributos de oculto frente al sistema.
Es decir, estamos ante un método de propagación por
red
2.- Modificará las siguientes claves de registro
para ganar persistencia, y protegerse:
2.1.-
Persistencia
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SysinfY2X.db
= C:\WINDOWS\system32\cmd.exe /c start wscript
/e:VBScript.Encode %temp%\SysinfY2X.db
2.2.-
Protección: configura el parámetro que dice que los archivos archivos ocultos
no se muestren.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
= 2
3.- Almacena
en la ubicación que marque la variable del sistema: %Temp% el archivo: SysinfY2X.db.
3.1.-
Comprueba la existencia en la ubicación que marque la variable del sistema:
%Temp% del archivo: SysinfYhX.db. Si
existe lo elimina
4.- Realiza peticiones hacía Internet.
4.1.- realy.mooo.com/bot/lancer/index.php?cmd=ping
4.2.- realy.mooo.com/bot/lancer/index.php?cmd=<tamañodelarchivo>SysinfY2X.db
4.3.- realy.mooo.com/bot/lancer/index.php?cmd=list
Espero haber ayudado en algo