viernes, 27 de enero de 2012

Dorkbot / NgrBot  

Hoy voy a analizar un troyano que me enviaron a mi casilla de correo, se trata nada mas y nada menos que de Dorkbot, uno de los troyanos mas difundido en Argentina.
Su éxito se debe a que es muy fácil armarse una Botnet con el, no requiere de muchos conocimientos técnicos, ni una infraestructura muy grande, al contrario de lo que puede ser Zeus o Spyeye.
Dorkbot, es una  botnet basada en IRC (Internet Relay Chat), es decir que el troyano es un cliente IRC el cual se conecta a un canal en particular creado por el botmaster a la espera de instrucciones, estas son impartidas utilizando el método "push", lo que le permite tener un control total de todas las maquinas infectadas en tiempo real.

Que hace Dorkbot

  • Ataques de denegación de servicio DDoS.
  • Bloqueo de direcciones IP (descarga de antivirus, actualizaciones, etc)
  • Redirección a sitios de Phishing, (host poisoning).
  • Descarga y ejecución de cualquier tipo de programa.
  • Matar procesos de Antivirus o programas, monitor de descargas (Ruskill).
  • Propagación vía mensajeros del tipo Msn, Pidgin,  Facebook, etc.
  • Robo de credenciales de sitios web, Hotmail, Facebook, etc.
  • Robo de credenciales de clientes FTP.
  • Se inyecta en los siguientes procesos: alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe; ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe; pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe; winlogon.exe; wlcomm.exe; wuauclt.exe

Módulos

Rootkit - Para ocultarse y no ser detectado
RusKill - Monitor de archivos descargados, puede sobre escribirlos y deletarlos en cada reboot.
Proactive Defense - Defensa contra otras amenazas o antivirus.
Dns Modifier - Este modulo bloquea y redirige IP/Domains.
SYN Flood - DDoS.
UDP Flood - DDoS.
Internet Explorer Loging Grabber - Este modulo hace un hook sobre wininet.dll y analiza cada método  POST utilizado a la espera de ingreso de usuario / password, capturando on the fly.
Firefox Grabber - Al igual que el modulo anterior hace un hook de nspr4.dll para el robo de usuarios y passwords.
Ftp Grabber - Para el robo de credenciales de FTP.
MSN Spread - Propagación vía mensajeros instantáneos.


Análisis del caso.


Recibo el siguiente correo a mi cuenta de mail, a decir verdad lo veo bastante interesante...
pero bueh... a la chica en cuestión no la conozco, así que se trata de un engaño mas para atrapar algún incauto....

A dar click en el.... link... se descarga un archivo ejecutable con un .icon de flash.





hxxp://www.endenter.com/wp-content/video.Facebook.com/Video-Melissa-Desnuda.exe

Un escaneo rápido arroja el siguiente resultado en Virustotal.com

SHA256: 3e8f534f500cba630e9f6fd01b55349f16584e64e0b5d7bf7ff4920e49588cde
Detection ratio: 4 / 43



GDataWin32:VBCrypt-FY20120127
IkarusWin32.VBCrypt

Análisis Estático.


Se trata de código ofuscado en VB, así que hay que echarle mano al Ollydbg para desempaquetarlo.

Aquí el resultado.


Se puede notar claramente los Strings utilizados para la captura de Password de sitios Web y el Rushkill.




String en el que se puede observar la utilización de \\.\PHISICALDRIVE, y una puteada para los crackers que podrían estar reservando el código.... xD



Strings de las Webs de los antivirus, para denegar el acceso a ellos.



String de donde realiza Dns Query.
http://api.wipmania.com



Analisis Dinamico (PC Infectada)

Utilización de un Sniffer para monitorear el trafico de red y Gmer .


Aquí podemos observar la comunicación que realiza vía IRC .



En rosa se puede ver el MSN Spread, enviando distintos mensajes via msn con links a descargas del troyano

En gris se puede ver la actualización del bot, desde una web comprometida, indicando el nombre que tendrá y donde se descargara en la PC.



Descarga de un ejecutable.




Con Gmer podemos observar el troyano oculto utilizando técnicas de Rootkit.


Los archivos  31.tmp y 57.tmp también eran dos versiones de Dorkbot que fueron actualizadas por el botmaster.


Algo interesante es el siguiente envío de datos para realizar un pharming hacia un sitio de phishing de bancos Peruanos.







Eso es todo... hasta la próxima.

@Dkavalanche  2012

No hay comentarios:

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...