14 de noviembre de 2008

Analizando programa desconocido

Hace unos dias que un amigo me envia mensajes sin sentido intentando enviarme ficheros (además de ser en inglés, y yo se que su inglés es incluso peor que el mio), así que hoy he decido investigar que bicho ha pillado el ordenador de mi amigo.

Todo esto me lo envia via protocolo microsoft messenger, como si de un mensaje normal se tratase por parte de mi amigo. La verdad es que va cambiando, pero siempre suele incluir en alguna parte tu propio nombre de usuario de msn messenger.

Después de bajarlo observo que el archivo tiene la extensión .zip, como uno es precavido, antes de nada ejecuto el comando file nombredelarchivosospechoso.zip

pinger@lptp02:~$ file amakasoftPicture7525435.JPG-imageshack.com.zip
amakasoftPicture7525435.JPG-imageshack.com.zip: Zip archive data, at least v1.0 to extract

De momento parece un archivo .zip, pero me quiero asegurar.

pinger@lptp02:~$ hexedit amakasoftPicture7525435.JPG-imageshack.com.zip

PK........`.n9..
00000010 BD EE 32 C4 00 00 32 C4 00 00 2A 00 00 00 61 6D ..2...2...*...am
00000020 61 6B 61 73 6F 66 74 50 69 63 74 75 72 65 37 35 akasoftPicture75
00000030 32 35 34 33 35 2E 4A 50 47 2D 69 6D 61 67 65 73 25435.JPG-images
00000040 68 61 63 6B 2E 63 6F 6D 4D 5A 90 00 03 00 00 00 hack.comMZ......
00000050 04 00 00 00 FF FF 00 00 B8 00 00 00 00 00 00 00 ................
00000060 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 @...............
00000070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000080 00 00 00 00 D8 00 00 00 0E 1F BA 0E 00 B4 09 CD ................
00000090 21 B8 01 4C CD 21 54 68 69 73 20 70 72 6F 67 72 !..L.!This progr
000000A0 61 6D 20 63 61 6E 6E 6F 74 20 62 65 20 72 75 6E am cannot be run
000000B0 20 69 6E 20 44 4F 53 20 6D 6F 64 65 2E 0D 0D 0A in DOS mode....
000000C0 24 00 00 00 00 00 00 00 23 13 FB B6 67 72 95 E5 $.......#...gr..
000000D0 67 72 95 E5 67 72 95 E5 E4 6E 9B E5 66 72 95 E5 gr..gr...n..fr..
000000E0 8F 6D 9F E5 6C 72 95 E5 8F 6D 91 E5 65 72 95 E5 .m..lr...m..er..

Fichero cortado... mas que nada porq ya vemos lo importante.

Básicamente que es un fichero zip y dentro contiene un ejecutable.

Descomprimimos el fichero zip

Obtenemos un fichero .com

pinger@lptp02:~$ file amakasoftPicture7525435.JPG-imageshack.com
amakasoftPicture7525435.JPG-imageshack.com: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit

Por lo poco que he visto me huele a botnet, sobretodo por algunas cosas que he visto en el ejecutable desde el hexedit y por la forma de distribuirse.

Ahora pasaremos a las armas mas importantes para asegurarnos de que es lo que sospechamos que es.

Enviamos el fichero a Virus Total, que contiene un montón de antivirus y analiza el fichero q le enviemos de forma gratuita. Estos ficheros serán enviados a las empresas antivirus, así que matamos 2 pajaros de un tiro.

Este es el resultado:

File amakasoftPicture7525435.JPG-image received on 11.14.2008 19:41:38 (CET)
Current status: finished
Result: 9/36 (25%)
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V32008.11.14.32008.11.14-
AntiVir7.9.0.312008.11.14Worm/IrcBot.50226
Authentium5.1.0.42008.11.14-
Avast4.8.1281.02008.11.14-
AVG8.0.0.1992008.11.14-
BitDefender7.22008.11.14Backdoor.IrcBot.ACNL
CAT-QuickHeal10.002008.11.13-
ClamAV0.94.12008.11.14-
DrWeb4.44.0.091702008.11.14-
eSafe7.0.17.02008.11.13-
eTrust-Vet31.6.62092008.11.14-
Ewido4.02008.11.14-
F-Prot4.4.4.562008.11.13-
F-Secure8.0.14332.02008.11.14-
Fortinet3.117.0.02008.11.14-
GData192008.11.14Backdoor.IrcBot.ACNL
IkarusT3.1.1.45.02008.11.14VirTool.Win32.CeeInject.J
K7AntiVirus7.10.5252008.11.14-
Kaspersky7.0.0.1252008.11.14-
McAfee54332008.11.13-
Microsoft1.41042008.11.14VirTool:Win32/CeeInject.gen!J
NOD3236142008.11.14-
Norman5.80.022008.11.14W32/DLoader.KUYZ
Panda9.0.0.42008.11.14-
PCTools4.4.2.02008.11.14-
Prevx1V22008.11.14-
Rising21.03.42.002008.11.14-
SecureWeb-Gateway6.7.62008.11.14Worm.IrcBot.50226
Sophos4.35.02008.11.14-
Sunbelt3.1.1801.22008.11.14Backdoor.Win32.S (vf)
Symantec102008.11.14Downloader
TheHacker6.3.1.1.1522008.11.13-
TrendMicro8.700.0.10042008.11.14-
VBA323.12.8.92008.11.14-
ViRobot2008.11.14.14682008.11.14-
VirusBuster4.5.11.02008.11.14-
Additional information
File size: 50408 bytes
MD5...: 060e1561a4bdb11e715e6009e05ae2c5
SHA1..: 6a70de95d2c6205861011213f36e21e1ed11e5c1
SHA256: c50b57b19bb373f762292a6c2969a7f60dc3e3630cfe24eea1a09ebe4b6e71e9
SHA512: 92fb82212d9acdd214088efc12e6597c60ee2a68c1c21f8066bed5fa986c93a2
2ba95175da981b645d0556b2789b809b70795392d3dce3e4c2f8c7759c25047b
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -


Todo sugiere lo que imaginamos desde un primer momento, un IRC bot. Mi amigo forma parte de una botnet.

Quiero más, quiero saber quien es el que esta jodiendo a mi colega.

El todo poderoso Anubis me hechará una mano, así que le envio el fichero a ver que me cuenta. Aquí tenéis el resultado: http://anubis.iseclab.org/?action=result&task_id=1c7c43b56d196a3d42960c3b5e346b05e

Además ahora han incluido la opción de descargarse incluso el archivo .pcap, es decir un archivo compatible con Ethereal (o Wireshark como lo llaman ahora).

Anubis nos informa de que hay un 10 de 10 posibilidades de que este archivo sea peligroso, además nos indica TODO, desde el password que usa para conectar al servidor irc desde donde nuestro equipo será controlado, hasta (continuando haciendo creer al virus que nuestro ordenador es suyo) dejandole descargar nuevos ficheros con nuevos virus.

Esta claro que uno no se puede fiar de un antivirus y despreocuparse de la seguridad, lo primero es cuidar que ejecutamos en nuestras maquinas.

Saludos.

Para los avispados, ya sabeis mi msn ;)

No hay comentarios: