martes, octubre 14, 2008
Albert López
Desde la pagina Malwarechallenge, se ha creado un reto, para que todo aquel que quiera pueda poner a prueba sus conocimientos para analizar un archivo de muestra. Piden enviar un informe con toda la información que se extraiga y hay distintos premios en juego.
Pueden ver las bases y descripción del concurso desde aqui
Yo propongo aquí poner lo que se extrae de un alálisis basico de la muestra, ya que no tengo ningún interés en el concurso. Así que descargamos el malware y nos ponemos al lio.
Primero de todo, y para asegurar la integridad y buen funcionamiento recomiendo que se tenga algún tipo de máquina virtual, en mi caso usare vmware con un windows XP instalado de manera virtual. Si alguien lo quiere probar directamente en su ordenador, allá el, es su responsabilidad.
Primero de todo ejecutamos el malware en questión, aparentemente no parece que pase nada, así que podemos optar por empezar a mirar el registro. Hay programas que te hacen logs del registro para posteriormente compararlos, así es fácil determinar si se ha creado algo nuevo en el, yo en mi caso voy directamente al registro donde sé que generalmente todo tipo de malware crea las llaves del registro.
Bajo mi buena sospecha veo después de analizar el registro que se ha creado lo siguiente:
Pueden ver las bases y descripción del concurso desde aqui
Yo propongo aquí poner lo que se extrae de un alálisis basico de la muestra, ya que no tengo ningún interés en el concurso. Así que descargamos el malware y nos ponemos al lio.
Primero de todo, y para asegurar la integridad y buen funcionamiento recomiendo que se tenga algún tipo de máquina virtual, en mi caso usare vmware con un windows XP instalado de manera virtual. Si alguien lo quiere probar directamente en su ordenador, allá el, es su responsabilidad.
Primero de todo ejecutamos el malware en questión, aparentemente no parece que pase nada, así que podemos optar por empezar a mirar el registro. Hay programas que te hacen logs del registro para posteriormente compararlos, así es fácil determinar si se ha creado algo nuevo en el, yo en mi caso voy directamente al registro donde sé que generalmente todo tipo de malware crea las llaves del registro.
Bajo mi buena sospecha veo después de analizar el registro que se ha creado lo siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "" = Winsec32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "" = Winsec32.exe
HKEY_CURRENT_USER\Software\Microsoft\OLE "" = Winsec32.exe
Esto da una buena pista de como mínimo uno de los archivos que crea en el sistema, después de comprobarlo y ver que ciertamente se ha creado el siguiente archivo:
C:\WINDOWS\Winsec32.exe
También si miramos en el administrador de tareas, veremos que se ha creado un proceso para este archivo, así que el malware esta en funcionamiento. En el caso de quererlo eliminar, recordad que antes se ha de cerrar el proceso para posteriormente eliminar el ejecutable, en caso contrario al estar utilizado por windows no dejará.
Hasta aquí tenemos dominado y localizado lo básico que hace el virus, pero todavia quedan algúnas questiónes.
Si miramos las conexiónes y el tráfico de red, veremos que se conecta al siguiente servidor:
Hasta aquí tenemos dominado y localizado lo básico que hace el virus, pero todavia quedan algúnas questiónes.
Si miramos las conexiónes y el tráfico de red, veremos que se conecta al siguiente servidor:
testirc1.sh1xy2bg.NET
Parece que conecta a algo del irc, y efectivamente si miramos con algún tipo de programa el tráffico veremos que se conecta a un servidor del IRC a un canal llamado "#chalenge happy12" y envia información a un bot.
Por otro lado, este malware crea un mutex con la clave "RasPbFile" y aparte trata de extraer información del sistema como la raíz del directorio de windows, la hora del sistema y el nombre de la computadora.
Por otro lado, este malware crea un mutex con la clave "RasPbFile" y aparte trata de extraer información del sistema como la raíz del directorio de windows, la hora del sistema y el nombre de la computadora.
Posted in: 
0 comentarios:
Publicar un comentario