La lista completa de las aplicaciones afectadas eran:
* CoffeeCup Free FTP
* TransSoft FTP
* Core FTP
* Far Manager's saved connections
* Total Commander's saved connections
* GlobalSCAPE Cute FTP client
* FileZilla
* FlashFXP
* Passwords from Windows Internals (Protected Storage)
* SmartFTP
* FTP Navigator
Detección de antivirus:
| Filesize: 32768 bytes MD5: 22bee10a9c989e3d217b0259b2bf9f63 Resultado: 38/41 (92.68%) | |
| a-squared | Trojan-PWS.Win32.Agent!IK |
| AhnLab-V3 | Win-Trojan/Daurso.32768 |
| AntiVir | TR/PSW.Agent.mzh.1 |
| Antiy-AVL | Trojan/Win32.Agent.gen |
| Authentium | W32/Agent.HKC |
| Avast | Win32:Trojan-gen |
| AVG | PSW.Agent.AAJK |
| BitDefender | Generic.PWStealer.5EFCF3C4 |
| CAT-QuickHeal | TrojanPSW.Agent.mzh |
| ClamAV | Trojan.Spy-63868 |
| Comodo | TrojWare.Win32.PSW.Agent.mzh |
| DrWeb | Trojan.PWS.Multi.24 |
| F-Prot | W32/Agent.HKC |
| F-Secure | Generic.PWStealer.5EFCF3C4 |
| Fortinet | W32/Agent.MZH!tr.pws |
| GData | Generic.PWStealer.5EFCF3C4 |
| Ikarus | Trojan-PWS.Win32.Agent |
| Jiangmin | Trojan/PSW.Agent.htc |
| K7AntiVirus | Trojan-PSW.Win32.Agent.mzh |
| Kaspersky | Trojan-PSW.Win32.Agent.mzh |
| McAfee | Generic PWS.y!yx |
| McAfee+Artemis | Generic PWS.y!yx |
| McAfee-GW-Edition | Heuristic.BehavesLike.Win32.Backdoor.H |
| Microsoft | PWS:Win32/Daurso.A |
| NOD32 | Win32/PSW.Agent.LQD |
| Norman | W32/Agent.PHND |
| nProtect | Trojan-PWS/W32.Agent.32768.Q |
| Panda | Trj/CI.A |
| PCTools | Trojan-PWS.Agent |
| Rising | Trojan.PSW.Win32.Agent.euo |
| Sophos | Mal/Generic-A |
| Sunbelt | Trojan.Win32.Generic!BT |
| Symantec | Infostealer |
| TheHacker | Trojan/PSW.Agent.mzh |
| TrendMicro | TSPY_AGENT.AVMG |
| VBA32 | Trojan-PSW.Win32.Agent.mzh |
| ViRobot | Trojan.Win32.PSWAgent.32768.R |
| VirusBuster | Trojan.PWS.Agent.NPLX |
| http://www.virustotal.com/analisis/90acaa9342474fda4543157511fe52d079dc587b5814003809736fe938a1de28-1257151450 | |
En este caso la detección de antivirus es bastante buena para la muestra, todos lo detectan. Pero ¿es posible que esto no tenga ninguna importancia? ¿Por qué tengo esa impresión, a pesar de la detección de todos los antivirus? En este caso el troyano se distribuye con la ayuda de otro, llamado Bredolab, y es el que descarga los ficheros cifrados. De este modo, no salta ninguna alarma para firmas de "PE" o "MZ" en la red que puedan hacer saltar ninguna alarma de descarga de ejecutable. Por otra parte, Bredolab puede evitar varios productos antivirus, así como ejecutar los binarios que descarga directamente en memoria y sin necesidad de tocar el disco. De este modo, sin ningún fichero en disco, no queda nada que escanear.
Por otra parte, ¿cómo se benefician los delincuentes de las credenciales FTP robadas? Pueden venderlas, o comprobar si pertenecen a alguna empresa importante, pero la práctica más habitual estos días es utilizarlas para distribución de código malicioso. De forma automática enumeran todos los logins de FTP y comprueban si pueden modificar alguna página web dentro de la cuenta (necesita acceso de escritura, y comprueba si el sitio tiene index.html o ficheros php). En caso afirmativo, añaden contenido javascript extra en el código o redirecciones a un sitio web remoto en el que un kit de explotación intenta infectar los equipos vulnerables que la visiten. Este escenario es similar a las inyecciones SQL masivas, aunque en este caso son las credenciales FTP las que permiten comprometer cientos de sitios a pesar de no tener ninguna vulnerabilidad.
Jozsef Gegeny
S21sec e-crime
1 comentarios:
Los clientes FTP tampoco ayudan mucho porque algunos guardan las credenciales en un fichero sin cifrar.
Publicar un comentario en la entrada