Español | English
rss facebook linkedin Twitter

Koobface: tirando del hilo

ATENCIÓN: cuidado si os da por probar, porque seguramente los servidores todavía estén activos...

Hace unos días me comentaron que había un virus que se estaba propagando por el Facebook, en forma de mensaje amigable (aunque no muy creíble), así que decidí echarle un vistazo:

Al visitar el link del mensaje aparecía únicamente un archivo Javascript ubicado en el mismo servidor, cuyo contenido, al parecer, es generado de forma automática por el código PHP:

<script type="text/javascript" src="j09hmok23zh.js"></script>

Este código hacía de redirector según el campo Referer enviado en la petición HTTP; dependiendo de si éste contenía el dominio de una red social u otra se le asignaba un archivo PHP diferente, si no contenía ninguno se redirigía a una página diferente, pero en el mismo dominio malicioso:


En el caso de Facebook, por ejemplo, la URL a la que nos llevaba era la siguiente:

http://redir0805.xxx/go/fb.php

Ésta, a su vez, añadía otro nivel más de redirección, ya que lo único que devolvía eran cabeceras, entre las que se encontraba Location, que era la que forzaba una nueva visita a otra URL. Es curioso el hecho de que cada vez que se hacía una petición el servidor al que se redirigía era diferente, eliminando toda centralización y propiciando que el vector de ataque estuviera en todo momento disponible.

También es importante remarcar que, aunque los datos del whois al dominio redir0805.xxx así como al redir0705.xxx se ocultan gracias a la compañía PrivacyProtect.org, se muestran fechas de registro del 8 de mayo. Claramente estos dominios son susceptibles de cambiar, visto su nombre y la fecha de registro, permitiendo, una vez más, la descentralización y el cambio de ubicación de la infraestructura.

En este punto se abría una página que simulaba a Youtube, con título Secret Video, y que mostraba un intento de visualizar el vídeo, aunque fallaba ya que supuestamente nos faltaba el Adobe Flash Player 10.37. De forma instantánea la amable página ofrecía el instalador que nos sacaría de aquel problema y nos dejaría ver ese vídeo super secreto...




Este ejecutable era una versión más del conocido gusano Koobface que se propaga por las redes sociales, no sólo Facebook, sino también algunas otras como Myspace, Hi5, Tagged, etc, desde mediados del año pasado y que va reapareciendo cada dos por tres. En este caso, cada vez que visitábamos el servidor malicioso se descargaba un ejecutable con diferente hash aunque mismo comportamiento. Menos de la mitad de los antivirus eran capaces de detectarlo.

Entre otras cosas, su ejecución implica la copia de sí mismo en el directorio %WINDIR% con el nombre ld08.exe, el borrado del ejecutable original, así como la visita a otro nuevo servidor, main15052009.xxx, para dar a conocer su infección y recibir nuevas instrucciones, que en su gran mayoría propiciaban la descarga y ejecución de más código malicioso:



A continuación unos breves apuntes sobre estos ejecutables, en su mayoría identificados genéricamente como downloaders:

  • 6244.exe: instala como BHO la DLL %WINDIR%/system32/796525/796525.dll que crea hooks en funciones de manejo del ratón y del teclado. Se comunica con el dominio zz-dns.com, enviando y recibiendo datos codificados al usar Internet Explorer.
  • nfr.exe: se copia a sí mismo en %WINDIR%/system32/SYS32DLL.exe y borra el ejecutable original. Modifica las preferencias de Firefox e Internet Explorer para añadir un proxy local en el puerto 7171, enviando al dominio zz-dns.com las búsquedas realizadas y modificando las respuestas de los buscadores en base a la respuesta del servidor, redirigiendo al usuario a la descarga de más malware. Parece ser una especie de adware.
  • pp.09.exe: se copia a sí mismo en %WINDIR%/pp09.exe y borra el ejecutable original. No se han encontrado intentos de conexión con servidores externos.
  • jpssoft.exe: crea la DLL winrzf32.dll en el directorio %WINDIR%/system32, conecta con el dominio oberaufseher.net y obtiene como respuesta una cadena de bytes, que tras un XOR con clave 0x45 resulta en los siguiente:
A * 3 http://iwantsearc.xxx/img/cmd.php

RM * 641 1 http://202.7.57.257/banners/pr.php?b=[brand]
RM * 642 1 http://202.7.57.257/banners/xp.php?b=[brand]
RM * 643 1 http://202.7.57.257/banners/prx.php?b=[brand]

Tras esto realiza peticiones a estas URLs modificando el parámetro b y obteniendo diferentes imágenes y páginas web, además de enviar información relacionada con la máquina infectada.

El dominio donde se alojaba este malware (en pasado porque esta noche parece que lo han limpiado) es un sitio web legítimo que sufrió una intrusión, realizada al parecer por Ali Baba y los 40 ladrones:


Como veis, si uno empieza a tirar no termina nunca, habiendo dejado muchísimas cosas en el tintero. Espero que con todo esto se os hayan quitado las ganas de visitar enlaces sospechosos y ejecutar archivos raros, si no, os encontraréis con nuevos amiguitos. En este caso parece que no se llegaba al robo de información sensible, pero podría haberse descargado un troyano bancario que fuera mucho más sofisticado, y que quizá conllevara incluso alguna transferencia bancaria no deseada.


Jose Miguel Esparza
S21sec e-crime

1 comentario:

Jose Javier dijo...

Muchas gracias por la información!

Un saludo.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login