Español | English
rss facebook linkedin Twitter

re: deuda pendiente

Estos días nos encontramos ante una nueva oleada de SPAM. En el ejemplo que voy a comentar, el correo nos indica que tenemos una factura pendiente y nos adjunta un fichero .zip con la supuesta factura, con el formato Factura_XX.zip. En este ejemplo dicho archivo se llama Factura_26.zip.


Este caso me ha llamado la atención porque he recibido numerosas copias de este correo, con diferentes números, y gente de mi entorno también la ha recibido, por lo que parece que se está consiguiendo el objetivo de difundir masivamente este malware.

Nos encontramos ante una oleada de SPAM que trata de infectar el máximo numero posible de usuarios con nuestro viejo amigo y troyano bancario ZeuS/ZBot.

Dentro del fichero .zip tenemos un fichero ejecutable oculto tras una doble extensión (separados pos guiones bajos) y el icono de Microsoft Word, lo cual puede despistar al usuario novel.


A partir de la ejecución de este fichero, podemos decir que el usuario ya se ha infectado. Ahora bien, ¿qué pasa realmente?

Realmente este fichero no es el troyano en si. Es un instalador, que tiene la capacidad de descargar otro fichero ejectuable y lanzarlo, por lo que puede ser una fuente de infección de cualquier malware.

Este Factura_26.Doc__...__exe se copia en una carpeta temporal con un nombre menos sospechoso (svchost.exe), y pasa a la acción. Se da a si mismo permiso para poder salir a internet (HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List), suplanta la shell de Windows (modifica en la clave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell el valor "Explorer.exe" por "Explorer.exe %tmp%\svchost.exe") y realiza su principal labor, que se trata de descargar otro fichero, esta vez renombrado a .gif, el cual es un binario de la familia ZeuS propiamente dicho.

$ wget xxxxxx.net/xxxxxx/bbs/images/waiting_z58.gif
...
$ file waiting_z58.gif
waiting_z58.gif: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit

Una vez ejecutado, se copia en la carpeta de sistema con el nombre twex.exe, se asegura sobrevivir al reinicio introduciéndose en la entrada HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, se descarga el fichero de configuración pertinente (se almacena en %system%\twain32\local.ds), y ya somos un bot más, una posible nueva víctima del fraude bancario.

Mikel Gastesi
S21sec e-crime

5 comentarios:

jarauta dijo...

Mikel, una vez dentro, ¿cómo lo eliminamos?. O viene en el siguiente post? ;-)

S21sec e-crime dijo...

Hola jarauta,

ZeuS se oculta, por lo que deberás utilizar una herramienta como gmer (http://www.gmer.net) para poder ver y borrar los ficheros.

Deberás eliminar twex.exe, la carpeta %system%\twain32 con todo su contenido, y el fichero svchost.exe que ha creado si es que también lo tienes. Además, para no dejar ni rastro, deberías borrar las entradas de registro que se han creado.

Saludos,

Mikel

Anónimo dijo...

No se si notaron que los ultimos malwar que dan vueltas tiene un metodo de infecion realmente patetio. Se les estaran agotando las ideas ?

ugaitzg dijo...

Eskerrik asko Mikel, batez ere nola kendu dezakegun esateagatik
===================================
Muchas gracias Mikel, sobre todo por decirnos como quitarlo

Anónimo dijo...

Bueno, ya lo dice Mikel. Este es bisho es un viejo conocido.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login