Las temibles descargas del Bredolab…

Nos estamos encontrando con bastantes incidencias al respecto de multiples variantes de malwares descargadas por el Bredolab, y que llegan a modificar el MBR con un Sinowal, pasando por instalar todo tipo de malwares, actualizandose cada hora, como un Katusha, y al parecer deja ficheros malwares con el nombre de los de sistema, pero en otra carpeta que cuelga de ella, la Wbem, que igualmente está en path, y crea una clave en el registro que los lanza…

Como sea que acostumbra a llegar por medio de correo electronico, se recuerda una vez mas que NO DEBE EJECUTARSE NINGUN FICHERO QUE LLEGUE ANEXADO A UN MAIL NO SOLICITADO, ni PULSAR SOBRE LINKS NI IMAGENES QUE HAYA EN DICHOS MAILS.

Aparte, en alguna variante, crea un fichero sustituto de uno de sistema, el grpconv.exe, pero c:\windows\system32\wbem\, y elimina tanto del de DLLCACHE como el de la carpeta de sistema, y para que sea ejecutado, como que esta carpeta de WBem está en path, le basta con esta clave de registro:

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\  Valor: “RunGrpConv” = “1”

y su ejecucion conlleva la carga de este malware en memoria residente, con lo que tenga previsto hacer, segun variante.

En su descripcion, Microsoft indica:

 Summary
Win32/Bredolab is a downloader which is able to download and execute arbitrary files from a remote host.
Symptoms
System changes
The following system changes may indicate the presence of this malware:
•The presence of the following files:
<system folder>\digeste.dll
<system folder>\digiwet.dll
<system folder>\mcenspc.dll
<system folder>\msansspc.dll
%startup%\asgupd32.exe
%startup%\dfqupd32.exe
%startup%\dmaupd32.exe
%startup%\fmnupd32.exe
%startup%\ihaupd32.exe
%startup%\imiupd32.exe
%startup%\legupd32.exe
%startup%\ppqupd32.exe
%startup%\rqjupd32.exe
%startup%\ikowin32.exe
%startup%\wbhwin32.exe
%startup%\hcgwin32.exe
%startup%\fqosys32.exe
%startup%\lecsys32.exe
%startup%\necsys32.exe
%startup%\rncsys32.exe
%startup%\ysfsys32.exe
%startup%\zqosys32.exe
<system folder>\wbem\grpconv.exe
%appdata%\wiaserva.log
•The presence of the following registry modifications:
To subkey: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
Sets value: “SecurityProviders”
With data: “msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll”
Technical Information (Analysis)
Win32/Bredolab is a downloader which is able to download and execute arbitrary files from a remote host.
Installation
Win32/Bredolab has changed its method of installation over time. When older variants of Win32/Bredolab are executed, they copy themselves to one of the following locations, converting their EXE to a DLL:
 
<system folder>\digeste.dll
<system folder>\digiwet.dll
<system folder>\mcenspc.dll
<system folder>\msansspc.dll
 
The registry is then modified to ensure that the DLL is loaded. For example:
To subkey: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
Sets value: “SecurityProviders”
With data: “msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll”
 
More recent variants of Win32/Bredolab copy themselves to the %startup% folder using one of the following variable filenames:
 
asgupd32.exe
dfqupd32.exe
dmaupd32.exe
fmnupd32.exe
ihaupd32.exe
imiupd32.exe
legupd32.exe
ppqupd32.exe
rqjupd32.exe
ikowin32.exe
wbhwin32.exe
hcgwin32.exe
fqosys32.exe
lecsys32.exe
necsys32.exe
rncsys32.exe
ysfsys32.exe
zqosys32.exe
 
Or they may use the following location:
 
•<system folder>\wbem\grpconv.exe

Payload
Downloads and executes arbitrary files
Win32/Bredolab contacts a remote host, and receives a response from the master server that contains at least one encrypted binary. Downloaded binaries are decrypted and executed.
 
Win32/Bredolab may use a randomly named file name for downloaded binaries on the local machine. Binaries may be saved to the following location:
 
•%windir%\Temp\wpv[numbers].exe
 
In the wild, Win32/Bredolab has been observed to contact the following control servers:
58.65.235.41
78.109.29.116
78.109.29.112
91.207.61.12
213.155.4.82
dollarpoint.ru
imoviemax.ru
mudstrang.ru
vanni-van.cn
gssmedia.cn
qoeirq.com
 
The following list details just a small selection of the malware known to be downloaded by variants of Win32/Bredolab:
Win32/Ambler
Win32/Boaxxe
Win32/Busky
Win32/Cbeplay
Win32/Cutwail
Win32/Daurso
Win32/FakeRean
Win32/FakeSpypro
Win32/Haxdoor
Win32/Hiloti
Win32/Insnot
Win32/Koobface
Win32/Momibot
Win32/Oderoor
Win32/Oficla
Win32/Otlard
Win32/Rlsloup
Win32/Rustock
Win32/Sinowal
Win32/Tedroo
Win32/Ursnif
Win32/Vundo
Win32/Waledac
Win32/Wantvi
Win32/Winwebsec
Win32/Wopla
Win32/Zbot
 
Additional Information
Some variants of Win32/Bredolab may create the following file during execution:
•%appdata%\wiaserva.log
 
Several variants of Win32/Bredolab have been the focus of various spam mass-mailings. Here is a selection of an e-mail, used in the wild, to distribute Bredolab onto user’s computers…

Fijarse que las IP de los servers que tiene relación son de algunos paises conocidos por su inseguridad en el control de hackeos informáticos, como Rusia, China y Ukraina…:
dollarpoint.ru Rusia
imoviemax.ru Rusia
mudstrang.ru Rusia
vanni-van.cn China
gssmedia.cn China
58.65.235.41 HK Hong Kong
78.109.29.116 UA Ukraine
78.109.29.112 UA Ukraine
91.207.61.12 UA Ukraine
213.155.4.82 NA Namibia
Como se ve, la cantidad de nuevas variantes que se puede descargar es inmensa, y lo mejor es evitarlo, es emplear el sentido comun, aunque sea el menos comun de los sentidos…  🙂 :

NO DEBE EJECUTARSE NINGUN FICHERO QUE LLEGUE ANEXADO A UN MAIL NO SOLICITADO, ni PULSAR SOBRE LINKS NI IMAGENES QUE HAYA EN DICHOS MAILS.

A partir del ELISTARA 19.55 de hoy se controlará este fichero malware que instala alguna de dichas variantes, el c:\windows\system32\wbem\grpconv.exe , que no debe confundirse con el c:\windows\system32\grpconv.exe que es original del sistema.

Con lo que se controlará algo mas este monstruo que nos está mareando por sus variantes, sus continuas novedades, su temible origen, sus acciones y su malicia.

saludos

ms, 27-20-2009