Se ha procedido a analizar el siguiente archivo.
Nombre: FG08OEE.doc
MD5: 2D5295C9B470591379A0E6782F389576
Comprobamos que efectivamente nos encontramos ante un documento para
Microsoft Word.
Lectura de las primeras posiciones del archivo, donde se define el tipo del mismo.
Sin realizar nada más pasamos a comprobar, gracias a Internet, la
información existente sobre el MD5 anterior.
Se obtienen 31 entradas en el buscador "google", todas ellas
de sandbox online. Nos quedaremos con las referencias de la sandbox
"VirusTotal":
En ésta sandbox, hace una semana sólo había 4 motores que detectarán el
documento como malicioso, a día de hoy lo detectan 33 motores.
Revisando el informe del mismo, lo primero que me llama la atención es
la cantidad de alias del archivo.
Alias del archivo analizado
Así como las fechas relacionadas con el primer envío del archivo.
Fechas manejadas por VirusTotal
Con esta información, se procede a analizar el archivo en nuestro
entorno controlado.
Se comprueba la existencia de macros (M) dentro del archivo.
Contenido del "indice" del archivo a estudio
Se procede a búsqueda de URLs dentro de archivo a estudio mediante un
plugin que busca patrones que pudieran coincidir con las típicas cadenas de las
URL.
URLs encontradas dentro del archivo a estudio - 1
URLs encontradas dentro del archivo a estudio - 2
URLs encontradas dentro del archivo a estudio - 3
Se encuentra información bastante interesante, sobre todo en el stream
8, pero antes de pasar a este stream, veremos el stream 7.
De las URLs mostradas nos interesa la primera: www.mcp.com/sams
Cuando la monitorizamos nos encontramos con la siguiente respuesta: 404
Respuesta del servidor a nuestra petición
Llama la atención el campo "X-Pingback", que se pasa a
comprobar:
Llamada a la URL del campo "X-Pingback"
Se procede a modificar el método de la petición para ver la respuesta
del mismo.
Llamada a la URL del campo "X-Pingback", modificado el metodo
de llamada
En la sandbox "VirusTotal" se puede obtener más información:
Se pasa a investigar más en profundidad el stream 8, mediante el análisis
del código fuente del mismo
Código fuente del stream 8
Del código obtenido, resulta de interés el siguiente código.
Procedimiento TOT9Qr3J8P
Se ve la utilización de la función "Chr()" que permite
utilizar el código ASCII para definir el carácter que queremos utilizar.
Podríamos estar ante un intento de camuflaje.
Se procede a su traducción para una compresión más profunda del
funcionamiento.
Procedimiento TOT9Qr3J8P traducido
Se procede a analizar el funcionamiento de la función, concluyendo que
lo que esta función realiza es: intenta descarga el archivo “346.exe” desde la
URL “vidimsoft.com/708/346.exe”, salvando el contenido en la carpeta “TEMP” y
dándole otro nombre “biksenpd.exe”. Así mismo, tras la descarga se procederá a
ejecutar el archivo.
Por último se pasa a analizar el código contenido en el stream 9, para
lo cual se visualiza el mismo.
Este stream lo único que contiene es la declaración de variables y la
inicialización de las macros mediante el procedimiento “autoopen”, que se
lanzará según se ejecute el documento analizado.
Código incluido en la macro, que muestra las variables declaradas así como el procedimiento de inicio de la macro
Conclusiones
Estamos ante un documento de Word que guarda macros con cierto código
camuflado, que nos pone en alerta.
Aun así, no sé puede decir que por sí mismo sea malicioso. Habría que
analizar el archivo que se intenta descarga para determinar si dicho archivo
solicita la descarga de un archivo malicioso. De todas maneras, las referencias
encontradas en Internet apuntan a que este archivo es un lanzador de código
malicioso.
