Mas sobre el troyano Zeus y sus variantes:

Publicado el 20 febrero 2010 ¬ 20:43 pmh.mscComentarios desactivados en Mas sobre el troyano Zeus y sus variantes:

Como que ha habido bastante revuelo por los efectos masivos que los malwares derivados o basados en el Zeus han causado en los últimos tiempos, McAfee ha publicado un resumen que publicamos a continuación, en el que se aprecia que se empezó a controlar en Agosto de 2007, y tras varias modificaciones, se están detectando recientemente (18/2/2010) nuevas variantes derivadas del mismo:
Spy-Agent.bw

Type
    Trojan
SubType
    Win32
Discovery Date
    08/20/2007
Length
    Varies
Minimum DAT
    4985 (03/15/2007)
Updated DAT
    5898 (02/20/2010)
Minimum Engine
    5.4.00
Description Added
    03/15/2007
Description Modified
    02/19/2010 10:41 AM (PT)

Una variante reciente (–Actualización del 18 de febrero de 2010) se comprobó que es utilizada para robar datos de sitios Web de contratación cuando el usuario está infectado. Esta variante puede ser proactivamente detectada como New Win32.g2 con los siguientes escáneres con heurística activada: GroupShield, correo electrónico de Secure Internet Gateway (SIG), correo electrónico de Secure Mail Gateway (SMG), Secure Web Gateway (SWG), TOPS, VirusScan Enterprise, VirusScan Email.

Se trata de una detección de troyanos. Ellos -a diferencia de los virus-, no se autopropagan. Se extienden manualmente, a menudo bajo la premisa de que son beneficiosos o solicitados. Los métodos de instalación más comunes implican explotación de agujeros del sistema o de seguridad y a los usuarios confiados, ejecutan manualemente programas desconocidos. Los canales de distribución de los mismos son correo electrónico, páginas web malintencionadas o hackeadas, Internet Relay Chat (IRC), las redes peer-to-peer, etc..

Alias

    * Infostealer.Monstres (Symantec)
Esta reciente variante se utiliza para robar información financiera de equipos infectados y muestra el siguiente comportamiento:

Crea los siguientes archivos y directorios:

    * %WINDDIR%\system32\lowsec\local.DS (archivo de datos)
    * %WINDDIR%\system32\lowsec\user.DS (archivo de datos)
    * %WINDDIR%\system32\lowsec\user.DS.LLL (archivo de datos)
    * %WINDDIR%\system32\sdra64.exe (Spy-Agent.bw)

(Donde % WINDIR se refiere al directorio donde está instalado Windows. Para Windows XP,normalmente es C:\Windows)

El malware inserta su código malicioso en el proceso de Winlogon.exe. También agrega la siguiente clave del registro para ser ejecutado nuevamente al reiniciar el sistema:

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = “% WINDDIR%\system32\userinit.exe,%WINDDIR%\system32\sdra64.exe,”
Desactiva el cortafuegos de Windows.
La siguiente clave se crea con el nombre de Windows en el equipo infectado:

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = “MACHINE_NAME”
Crea las siguientes claves del Registro:

    * HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\{3039636B-5F3D-6C64-6675-696870667265} = F7 09 F2 0D
    * HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\{33373039-3132-3864-6B30-303233343434} = 47 09 F2 0D

El malware intenta descargar un archivo con extensión .BIN de una de las siguientes ubicaciones:

    * actualización [obsoletas] .com
    * Goo [obsoletas] .net
    * .ru de Oia [obsoletas]
    * base .com [eliminado]
    * nolif [obsoletas] .net
    * NET lake777. [obsoletas]

Y se han detectado variantes en los archivos adjuntos de correos electrónicos falsificados. Estos mensajes de correo electrónico parecen provenir de DHL y son sobre un envío perdido. El asunto puede contener un falso ID de seguimiento falsificadas.

Otras variantes tipo spam llegan en un correo electrónico, alegando que su cuenta de correo electrónico está bloqueado y las instrucciones para desbloquear la cuenta se pueden encontrar en el archivo adjunto (que es el troyano).

Los nombres de archivo utilizados son Sperrung.exe, Hinweis.exe y el archivo eliminado se denomina Wins.exe.
Otra variante vía spam llega en un correo ‘Colis postal’ y pretende haber sido enviado desde ‘La Poste France’ o desde ‘Hawaiian Airlines’ usando al tema ‘Your Flight Ticket N0165906’.

Dichos correos ofrecen link a un archivo ZIP, llamado ‘La_Poste_N8832.zip’ o ‘Your Flight Ticket N0165906’, que incluye el troyano Spy-Agent.bw.
 Otra variante de Spy-Agent.bw se ha observado que viene como un archivo adjunto a un mensaje de correo electrónico falsa afirmando ser de FedEx. El archivo adjunto puede llamarse Fedx-retr871.zip o similar.

      Al ejecutarse dicha variante crea el siguiente archivo:
          · C:\WINDOWS\ system32\ ntos.exe (Spy-Agent, bw)

      Cambia la siguiente clave del registro:
          · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\ntos.exe de %Windir%\System32\userinit
http://www.satinfo.es/zonavirus/arrow.gifOtra variante de Spy-Agent.bw se ha observado que viene como un archivo adjunto a un mensaje de correo electrónico falsa afirmando ser de UPS.

      Al ejecutarse, crea los siguientes archivos ocultos en carpeta oculta:
          · %Windir%\System32\wsnpoem\ (carpeta)
          · %Windir%\System32\wsnpoem\audio.dll (archivo de datos)
          · %Windir%\System32\wsnpoem\video.dll (archivo de datos)
          · %Windir%\System32\ntos.exe (Spy-Agent.bw)

      (Donde % Windir % es la carpeta de Windows; C:\Windows en XP)

      Las siguientes claves del registro son modificadas:
          · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\ntos.exe de %Windir%\System32\userinit
          o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = < Name_ COMPUTER % Random % >

      El troyano inyecta su codigo malicioso en el siguiente proceso:
          · Winlogon.exe

      Y puede conectar con el sitio Web del autor para enviarle datos robados, iniciar acciones y/o recibir instrucciones:
          · ahleinaks.ru

 Otra variante de Spy-Agent.bw viene como un archivo adjunto a un mensaje de correo electrónico falseando venir de UPS.

      Puede conectar con el sitio Web para comunicar datos robados, iniciar acciones y recibir instrucciones:
          · blatundalqik.ru

      Esta variante crea los siguientes archivos ocultos y la carpeta oculta:
          · %Windir%\System32\wsnpoem\ (carpeta)
          · %Windir%\System32\wsnpoem\audio.dll (archivo de datos)
          · %Windir%\System32\wsnpoem\video.dll (archivo de datos)
          · %Windir%\System32\ntos.exe (Spy-Agent.bw)

      (Donde % Windir % es la carpeta de Windows; C:\Windows en XP)

      Y modifica siguientes claves del registro:
          · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\ntos.exe de %Windir%\System32\userinit
          3 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = < Name_ COMPUTER % Random % >

      El troyano inyecta su código malicioso en el siguiente proceso:
          · Winlogon.exe

      Y puede conectar con el sitio siguiente para comunicar datos robados, iniciar acciones y/o recibir instrucciones:
          · razvlekalovo.NET

Ya anteriormente se valoraron los riesgos de estas amenazas debido a la atención de los medios de comunicación como en http://www.Techworld.com/Security/News/index.cfm?newsID=9833&pagtype=samechan
Otra variante para robar datos de sitios Web de contratación cuando el usuario está infectado. ya se controlaba proactivamente con los siguientes escáneres heurística activada: GroupShield, correo electrónico de Secure Internet Gateway (SIG), correo electrónico de Secure Mail Gateway (SMG), Secure Web Gateway (SWG), TOPS, VirusScan Enterprise, VirusScan Email.

      Al ejecutarse, crea los siguientes archivos y carpetas:
          · %Windir%\System32\wsnpoem\ (carpeta)
          · %Windir%\System32\wsnpoem\audio.dll (archivo de datos)
          · %Windir%\System32\wsnpoem\video.dll (archivo de datos)
          · %Windir%\System32\ntos.exe (espía-Agent.bw)

      (Donde % Windir % es la carpeta de Windows; C:\Windows en XP)

      Las siguientes claves del registro son modificadas:
          · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\pathx = < PATH Spy-Agent.bw a >
          · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\ntos.exe de %Windir%\System32\userinit
          · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = < Name_ COMPUTER % Random % >

      El troyano inyecta su código malicioso en el siguiente proceso:
          · Svchost.exe
          · Winlogon.exe

      Y esta variante de Spy-Agent.bw puede iniciar sesión en los siguientes sitios Web de reclutamiento en busca de capturar datos y la información personal y, a continuación, las envía a:
          · Recruiter.Monster.com
          · hiring.Monster.com

      Spy-Agent.bw puede conectarse a los sitios siguiente a comunicar datos robados, iniciar acciones y recibir instrucciones:
          · http://195.189.{blocked}/mnstr/grabv2.php?getid=1
          · http://195.189.{blocked}/spmv3.php?sendlog=
          · http://195.189.{blocked}/mnstr/grabv2.php
          · http://195.189.{blocked}/pmv3.php?sentmailz=

      Envía e-mails tipo spam a través del siguiente servidor de SMTP:
          · SMTP.bizmail.yahoo.com

Síntomas

    * Presencia de claves de los archivos y del registro como ya se ha dicho anteriormente.
    * Conexiones de red inesperado a las zonas mencionadas.

 
todo de infección

Ellos no autoejecutan los troyanos, sino que debe hacerlo el usuario manualmente, a menudo bajo la premisa de que el archivo ejecutable es algo beneficioso. Canales de distribución incluyen IRC, redes peer-to-peer, mensajes publicados en los grupos de noticias, correo electrónico, etc.. Ciertas variantes conocidas también fueron conocidas se instale a través de la web hazañas.
Eliminación

Todos los usuarios:
Utilizar motor y DAT especificados  ( DATS 5898 , MOTOR 5.4.00 )

Las modificaciones realizadas en los archivos de registro INI de sistema para aplicarlo en el inicio del sistema, se eliminarán correctamente co el VirusScan de McAfee si se limpian con el motor actual y los DAT especificados (o superior). OTros motores más antiguos pueden no poder quitar todas las claves de registro creadas por esta amenaza.
Variantes
    * Kneber
    * Zeus
 Fuente

Comentario:

Aparte, recordar que con el ELISTARA vamos controlando todas las muestras que día a día nos van llegando como sospechosas para analizar, y que para los SDRA64  y Rootkits similares, debe complementarse con el ELINOTIF.DLL en la misma carpeta que el ELISTARA.EXE

saludos

ms, 20-2-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies