Hace unos días mi amigo Raul, me envió una muestra de un troyano que estaba siendo distribuido como una notificación de la conocida empresa de encomiendas UPS.
La amenaza estaba alojada en un sitio web comprometido de Argentina.
El troyano se trata de una DLL con otra extensión (.dat), se encuentra ofuscado para evitar ser detectado, y es registrado en el sistema con el siguiente comando.
En el momento de ser enviado a V.T. tenia un indice muy bajo de detecciones, para ser mas preciso 2/46
Observando los nombres detectados por los distintos A.V. realmente no se sabe muy bien a que amenaza corresponde.
Al principio pensaba que se trataba de PWS.Papras, un password stealer muy utilizando en BlackHole Exploit, pero consultado el oráculo de kernelmode.info me indican que se trata de otra amenaza, mas precisamente de Win32/Vawtrak
Verificando los strings encontrados en el dump de la muestra y comprobado en el análisis dinámico confirmo que se trata de este ultimo.
Strings interesantes.
1000C5F6 PUSH dump.10022878 ASCII "Host"
1000C627 PUSH dump.1002270C ASCII "https://"
1000C63C PUSH dump.10022704 ASCII "http://"
1000C68E PUSH dump.10022880 ASCII "User-Agent"
1000D27A PUSH dump.1002288C UNICODE "iexplore.exe"
1000D28B PUSH dump.100228A8 UNICODE "firefox.exe"
1000D29A PUSH dump.100228C0 UNICODE "explorer.exe"
1000D2A6 PUSH dump.100228DC UNICODE "chrome.exe"
1000EE9E PUSH dump.10022A90 ASCII "CreateRemoteThread"
1000F300 PUSH dump.1002237C ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
1000F31B PUSH dump.10022AA4 UNICODE "regsvr32.exe /s "%s""
1000F353 PUSH dump.1002237C ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
1000F36E PUSH dump.10022AD0 ASCII "regsvr32.exe /s "%s""
10012D5E MOV EBX,dump.100236F0 ASCII "Software\LeechFTP"
10012D75 MOV ESI,dump.10023704 ASCII "bookmark.dat"
10012DA4 PUSH dump.10023714 ASCII "LocalDir"
10012E04 PUSH dump.10023720 ASCII "CLSID\{11C1D741-A95B-11d2-8A80-0080ADB32FF4}\InProcServer32"
10012E2A PUSH dump.1002375C ASCII "sites.db"
10012E65 PUSH dump.10023768 ASCII "servers.xml"
10012E6A PUSH dump.10023774 ASCII "\FTPGetter"
10012E9B PUSH dump.10023780 ASCII "ESTdb2.dat"
10012EA0 MOV EDI,dump.1002378C ASCII "\Estsoft\ALFTP"
10012EB0 PUSH dump.1002379C ASCII "QData.dat"
10012EDE PUSH dump.100237A8 ASCII "SM.arch"
10012EE3 PUSH dump.100237B0 ASCII "\Global Downloader"
10012F16 PUSH dump.100237C4 ASCII "FTP++.Link\shell\open\command"
10012F4F PUSH dump.100237E4 ASCII ".fpl"
10012F8B PUSH dump.100237EC ASCII ".xfp"
10012F90 PUSH dump.100237F4 ASCII "\NetSarang"
10012FBB PUSH dump.10023800 ASCII "NppFTP.xml"
10012FC0 PUSH dump.1002380C ASCII "\Notepad++"
10012FF2 PUSH dump.10023818 ASCII "DataDir"
10012FF7 PUSH dump.10023820 ASCII "Software\MAS-Soft\FTPInfo\Setup"
1001300C MOV EDI,dump.10023840 ASCII "ServerList.xml"
1001303C PUSH dump.10023850 ASCII "\FTPInfo"
10013068 PUSH dump.1002385C ASCII "NovaFTP.db"
1001306D PUSH dump.10023868 ASCII "\INSoftware\NovaFTP"
100130AC PUSH dump.1002387C ASCII "UltraFXP"
100130BE PUSH dump.10023888 ASCII "\sites.xml"
1001312B PUSH dump.10023894 ASCII "\GPSoftware\Directory Opus"
10013146 PUSH dump.100238B0 ASCII ".oxc"
1001315F PUSH dump.100238B8 ASCII ".oll"
10013178 PUSH dump.100238C0 ASCII "ftplast.osd"
1001321E PUSH dump.100238CC ASCII "\SharedSettings.ccs"
10013241 PUSH dump.100238E0 ASCII "\SharedSettings.sqlite"
1001325F PUSH dump.100238F8 ASCII "\SharedSettings_1_0_5.ccs"
1001327C PUSH dump.10023914 ASCII "\SharedSettings_1_0_5.sqlite"
100132CC MOV EDI,dump.10023934 ASCII "\CoffeeCup Software"
10013331 PUSH dump.10023948 ASCII "\32BitFtp.ini"
10013393 PUSH dump.10023958 ASCII "FTPCON"
100133A0 PUSH dump.10023960 ASCII "FTP CONTROL"
100133AE PUSH dump.1002396C ASCII "\Profiles"
100133CA PUSH dump.10023978 ASCII ".prf"
1001340C PUSH dump.10023980 ASCII "FTPVoyager.ftp"
10013411 MOV EDI,dump.10023990 ASCII "\RhinoSoft.com"
10013424 PUSH dump.100239A0 ASCII "FTPVoyager.qc"
10013435 PUSH dump.100239B0 ASCII "FTPVoyager.Archive"
1001343A PUSH dump.100239C4 ASCII "\RhinoSoft"
10013472 MOV EDI,dump.100239D0 ASCII "SiteInfo.QFP"
100134A0 PUSH dump.100239E0 ASCII "Odin"
10013521 PUSH dump.100239E8 ASCII "WinFTP"
1001354C PUSH dump.100234DC ASCII "Favorites.dat"
100135A1 PUSH dump.100239F0 ASCII "DeluxeFTP"
100135CC PUSH dump.100239FC ASCII "sites.xml"
10013621 PUSH dump.10023A08 ASCII "Staff-FTP"
1001364B PUSH dump.10023A14 ASCII "sites.ini"
Shell en sitio comprometido
Spammer.
El único que le pego...
Muestra : https://www.dropbox.com/s/0s6pkge881z8631/Win32Vawtrak.-26-08-13.zip
Password = infected
Gracias Raúl @rfb_ !!!!
Es todo por el momento....
@Dkavalanche 2013