ZombieBoy, nuevo malware de minado de criptomonedas

 

ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.

ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: “ZombieBoyTools”. Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.

Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com

Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario “123.exe” desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:

“64.exe”, además de estar encriptado con el packet “Themida” implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza “WinEggDrop” un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente “64.exe” utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:

42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ

El otro componente descargado tiene el nombre de “74.exe”. Se encarga de descargar y ejecutar la DLL “NetSyst96.dll”, heredada del RAT “Gh0stRat”, permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.

“84.exe” es otro de los módulos droppeados por “123.exe”. Al igual que “74.exe” es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.


Flujo de actividad. Fuente: www.alienvault.com

Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:

123.exe
64.exe
74.exe
84.exe
CPUinfo.exe
N.exe
S.exe
Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)

Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.

Entradas de registro maliciosas:

SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
Ficheros descargados por el malware:
C:\%WindowsDirectory%\sys.exe
C:\windows\%system%\boy.exe
C:\windows\IIS\cpuinfo.exe
C:\Program Files(x86)\svchost.exe
C:\Program Files\AppPatch\mysqld.dll
C:\Program Files(x86)\StormII\mssta.exe
C:\Program Files(x86)\StormII\*
C:\Archivos de programa (x86)\svchost.exe
C:\Archivos de programa\AppPatch\mysqld.dll
C:\Archivos de programa (x86)\StormII\mssta.exe
C:\Archivos de programa (x86)\StormII\*

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies