lunes, 24 de octubre de 2016

URGENTE!!!!. Ransomware!!!!.

De manera urgente se informa de una nueva propagación de ransomware a través de los siguientes archivos:

Nombre:             ORDER_985.js  
MD5:                  756DBEC9003F1383854C54FD75D34733
VirusTotal:         11/49

Nombre:             EMAIL_20087.js
MD5:                  70A0E48D3EAAF218CE0F106E22574456
VirusTotal:         22/54

Nombre:             SHOP_30089.js
MD5:                  3384FC28C733626B62F80FAE43AF117E
VirusTotal:         18/53

Nombre:             SHOP_5689.js
MD5:                  76FC21CE41C534B94BEA7E1A7BCE327C
VirusTotal:         24/55

Nombre:             LOVE_6164.js
MD5:                  5C2B21A2FC369DE68910F949C59DAD7D
VirusTotal:         Sin datos

Estos archivos javascript son downloader. Las URLs desde donde descargan son:

www.injusticeil.top/user.php?f=<digito>.dat
www.importantxc.top/user.php?f=<digito>.dat
www.unnaturaldc.top/user.php?f==<digito>.dat

NOTA: El nombre del archivo ".dat" es un dígito, no se descartan otros posibles combinaciones.

Las cuales se encuentran activas, y permiten descargar dos ejecutables distintos:

Nombre:             Roaming.exe
MD5:                  8D54B0EA871C5536B236E658575CF809
VirusTotal:         7/56

Nombre:             Roaming.exe
MD5:                  0AFB7AEF27FCE860AD0E86AEDEBE45A9
VirusTotal:         Sin datos

Estos archivos una vez lanzados reportaran información hacía las siguientes URLs:

91.200.14.124/linuxsucks.php
185.102.136.77/linuxsucks.php
109.234.35.215/linuxsucks.php

Actualmente se encuentran activas todas las URLs.

ACTUALIZACIÓN

En la siguiente URL se informa se aporta más información sobre el mismo ransomware

http://blog.dynamoo.com/2016/10/malware-spam-fake-receipt-leads-to.html

ACTUALIZACIÓN del 25/10/2016

Nuevos archivos han sido detectados:

Nombre:             EURO_16851.js
Hash md5:          49D6D5061DF8AD438EC65CCD3ECF3D62
VirusTotal:         Sin datos

Nombre:             SHOP_7874.js
Hash md5:          79AC56F7DDEC84230865285D8B53FE21
VirusTotal:         3/55

Nombre:             SHOP_30971.js
Hash md5:          B7FAFF528AAE5072260CCE5E2B847052
VirusTotal:         4/54

Nombre:             ALERT_18376.js
Hash md5:          F5BB88DE35A093E333EE26DB1CE0AA70
VirusTotal:         Sin datos

Nombre:             ONLINE_20141.js
Hash md5:          166764A43A748323A6FAF1DDD640F8B4
VirusTotal:         Sin datos

Nombre:             ONLINE_21702.js
Hash md5:          504A6B3C1991E8F3022047DB766C0A8C
VirusTotal:         1/54

Nombre:             MONEY_14896.js
Hash md5:          264F8CA72B0C5322AD9016227809EDE6
VirusTotal:         Sin datos

Nombre:             INFO_2511.js
Hash md5:          9BBD90333BEC5D657E595E2F63A824DD
VirusTotal:         1/55

Nombre:             MONEY_3336.js
Hash md5:          72B990A33B8285746221B1EEE5C7E81B
VirusTotal:         Sin datos

Nombre:             EMAIL_14142.js
Hash md5:          6AE96DD0D97A06375AC39FDE9AF92B79
VirusTotal:         Sin datos

Nombre:             BALLANCE_16862.js
Hash md5:          0C1875601DAD18D7C45AA2AC9A1FC016 
VirusTotal:         2/55

Nombre:             ONLINE_5338.js
Hash md5:          5F236F391A762EB874F6026D23855932
VirusTotal:         Sin datos

Nuevos archivos  downloader. Las URLs desde donde descargan son:

vegetablecs.top/user.php?f=<digito>.dat
sonyserofa.top/user.php?f=<digito>.dat

NOTA: El nombre del archivo ".dat" es un digito, no se descartan otros posibles combinaciones.

Las cuales se encuentran activas, y permiten descargar el siguiente ejecutable:

Nombre:             Roaming.exe
MD5:                 EF3E66188F20CCCBF1FDD9B43B161CB8
VirusTotal:         Sin datos

Los nuevos C2C:

77.123.137.221/linuxsucks.php --- No se encuentra activa

mehksltbkd.info/linuxsucks.php (69.195.129.70) --- Se encuentra activa
at No hay comentarios:

miércoles, 5 de octubre de 2016

Nuestro BOT ha crecido!!!

En estos días se ha recibido varios archivos para analizar.

Los datos de los susodichos son:

Nombre:  blood.dat
Md5: BF8A28BD6F426C4AC7A6295A9C120A0D

Nombre: config.dat
Md5: BF8A28BD6F426C4AC7A6295A9C120A0D

Nombre: system.vbs
Md5: FBD2172DD8B2A745188D53ECC151FF0F

El primero que se reviso es el último de los archivos comentados: system.vbs

En él se encontró el siguiente código:







Código encontrado en el archivo: system.vbs

En visto del código visualizado y de que los otros dos ficheros son en definitiva el mismo, se selecciono uno al azar para descrifrarlo, tal y como se hizo en la entrada anterior a esta: http://4null0.blogspot.com.es/2016/09/botnet-de-verano-para-mi.html























Archivo: blood.dat, antes de descifrarlo

























Archivo: blood.dat, después de descifrarlo

Se revisó el código, encontrando tantas similitudes con el analizado en la serie de entradas:

https://4null0.blogspot.com.es/2016/02/analizando-el-archivo-updatedat.html
https://4null0.blogspot.com.es/2016/02/analizando-s4t4n-b0tn3t-parte-1.html
https://4null0.blogspot.com.es/2016/03/analizando-s4t4n-b0tn3t-parte-2.html
https://4null0.blogspot.com.es/2016/04/analizando-s4t4n-b0tn3t-parte-3.html
https://4null0.blogspot.com.es/2016/05/analizando-s4t4n-b0tn3t-parte-4-y-ultima.html

, que se puede decir que estamos ante una nueva versión del bot (de 34.12 se ha pasado a la 39.13).
















Versión de código del bot


Por lo que sólo se procederá a comentar los datos de interés, de este

1.- Se crean/modifican las siguientes claves de registro

HKCU\Software\Microsoft\Windows Script Host\Settings\Timeout=0
HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr=0
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rescue=%allusersprofile%\rescue.vbe
HKLM\software\microsoft\windows\currentversion\policies\system\consentpromptbehavioradmin=0
HKLM\software\microsoft\windows\currentversion\policies\system\enablelua=0


2.- Se crean/modifican las siguientes claves de registro para auto-defensa

HKEY_CLASSES_ROOT\Applications\Notepad2.exe\shell\open\command=%SystemRoot%\System32\Notepad.exe
HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\open\command=%SystemRoot%\System32\Notepad.exe
HKEY_CLASSES_ROOT\Batfile\Shell\Edit\Command=%SystemRoot%\System32\Notepad.exe
HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command\=%SystemRoot%\System32\Notepad.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden=2
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden=0

3.- Se crean las siguientes carpetas y archivos

%systemdrive%\security\blood.dat
%systemdrive%\security\svchost.exe
%systemdrive%\security\zoneh.dat
%systemdrive%\security\zoneh.exe
%systemdrive%\security\bump.jpg
%systemdrive%\security\bump.vbe
%systemdrive%\security\av.jpg
%systemdrive%\security\av.bat
%systemdrive%\security\system.jpg
%systemdrive%\security\system.exe
%systemdrive%\security\explorer.jpg
%systemdrive%\security\explorer.exe
%systemdrive%\security\update.jpg
%systemdrive%\security\update.exe
%systemdrive%\kernel\update.jpg
%systemdrive%\kernel\update.exe
%systemdrive%\kernel\explorer.jpg
%systemdrive%\kernel\explorer.exe
%systemdrive%\kernel\system.jpg
%systemdrive%\kernel\system.exe
%systemdrive%\kernel\av.jpg
%systemdrive%\kernel\av.bat
%systemdrive%\kernel\bump.jpg
%systemdrive%\kernel\bump.vbe
%systemdrive%\kernel\zoneh.dat
%systemdrive%\kernel\zoneh.exe
%systemdrive%\kernel\blood.dat
%systemdrive%\kernel\svchost.exe
%systemdrive%\kernel\r00t3r
%systemroot%\system32\system\msg\config.txt
%temp%\uac.bat
%temp%\ADMIN.vbe
%temp%\CPBA.bat
%temp%\tp.vbe
%temp%\tmp.bat
%temp%\booter.dat
%temp%\reskp.exe

4.- Peticiones hacía Internet (URLs)

http://sauvegarde.1x.biz/booter.dat
http://registered.co.nf/sat39/index.php
http://zoneh.me.pn/zoneh.dat
http://users2.Jabry.com/mysiteweb2/bump.jpg
http://newsonline.125mb.com/av.jpg
http://mysiteweb.eu5.org/system.jpg
http://mysiteweb.freezoy.com/explorer.jpg
http://babybot.125mb.com/update.jpg

5.- Método de propagación

El método de propagación se realiza a través de las unidades compartidas/pendrives que tenga enlazadas el host.

A esas unidades compartidas/drives se copian los archivos ".dat" de las carpetas:

1.- %systemdrive%\security
2.- %systemdrive%\kernel

Se renombran y se establecen los atributos del sistema y ocultos, y por último, se crean enlaces por cada archivo encontrado y se ocultan los archivos originales.

RESPUESTA DEL ENTORNO AV

Según VirusTotal y sus motores, SÓLO 11 de 56 motores, califican a el archivo con md5: BF8A28BD6F426C4AC7A6295A9C120A0D, como malicioso.

Si se tiene constancia de dicho archivo en VirusTotal desde hace más de un año.

Más información:

https://virustotal.com/es/file/b41a2670d3beb228e811c6925e2ecae91c1c96610bbb86c3926eeb9d452b3aa4/analysis/






at No hay comentarios:
Suscribirse a: Entradas (Atom)