RootKits cazapasswords en el MBR generados por ficheros descargados por el Bredolab

Publicado el 8 octubre 2009 ¬ 11:04 amh.mscComentarios desactivados en RootKits cazapasswords en el MBR generados por ficheros descargados por el Bredolab

Estamos detectando discos duros con el MBR (Master Boot Record) infectados con un RootKit cazapasswords con tecnicas Stealth, de forma que está oculto y si se arranca con él, lo carga en memoria pero no se ve dicha información en el sector 0.0.1 del disco duro, y asi consigue PASAR DESAPERCIBIDO.

Lo mas grave es que ello lo hemos detectado al monitorizar un Bredolab, que ha descargado y ejecutado ficheros, entre estos un temporal que nos ha cambiado el MBR (aun con tecnologia NT de los XP), y ha sobreescrito el código del MBR con dicho Rootkit…

Analizado dicho MBR con el VirusTotal vemos que se detecta como SINOWAL, pero no es detectado normalmente por estar donde está y como está !

Buscando información al respecto, parece que ya se detectaron mas de 500.000 cuentas bancarias hackeadas antaño, pero es que ahora ataca de nuevo !  Las variantes de Bredolab están de moda, y cada una descarga tropecientos troyanos, a cual peor, viejos y nuevos, pero este nos ha motivado una mayor investigacion.
_______
Harry Waldron 
McAfee Maniac  
 
 Win32/Sinowal – MBR Rootkit with Password stealer impacts 500,000 accounts

——————————————————————————–

Users should ensure their AV protection is up-to-date, as a new variant of this highly stealth rootkit was launched during late October. Approximately 510,000 bank and credit card accounts have been impacted based on analysis so far. Removal of MBR based malware is always difficult and may ultimately require a complete reformatting of the hard drive and reinstallation of all software. It appears to spread through web based exploits, and users should be cautious with weblinks in email or sites that they visit.

Win32/Sinowal – MBR Rootkit with Password stealer impacts 500,000 accounts
tonpost.com/sec…ts_500000.html

QUOTE: A single cyber crime group has stolen more than a half million bank, credit and debit card accounts over the past two-and-a-half years using one of the most advanced strains of computer spyware in existence, according to research to be published today. The discovery is among the largest stolen data caches ever recovered.

HOW IT SPREADS: When an unsuspecting Windows user visits one of these sites, the code left on the site tries to install the Trojan using one of several known Web browser security holes, such as vulnerabilities found in popular video and music player plug-ins like Macromedia Flash and Apple’s QuickTime player.

IMPACT: RSA investigators found more than 270,000 online banking account credentials, as well as roughly 240,000 credit and debit account numbers and associated personal information on Web servers the Sinowal authors were using to set up their attacks

REMOVAL IS COMPLEX: Sinowal also is unique in that hides in the deepest recesses of a host computer, an area known as the “Master Boot Record.” The MBR is akin to a computer’s table of contents, a file system that loads even before the operating system boots up. According to security experts, many anti-virus programs will remain oblivious to such a fundamental compromise. What’s more, completely removing the Trojan from an infected machine often requires reformatting the system and wiping any data stored on it.

_______

 

La maraña empieza cuando se ejecuta un fichero con una de las muchas variantes del Bredolab, que analizada por VirusTotal muestra la siguiente informacion:

File mhbupd32_03_.exe received on 2009.10.08 08:31:47 (UTC)
Result: 21/41 (51.22%)
 

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Bredolab!IK
AhnLab-V3 5.0.0.2 2009.10.07 –
AntiVir 7.9.1.35 2009.10.08 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.05 –
Authentium 5.1.2.4 2009.10.08 –
Avast 4.8.1351.0 2009.10.07 –
AVG 8.5.0.420 2009.10.04 SHeur2.BIXO
BitDefender 7.2 2009.10.08 –
CAT-QuickHeal 10.00 2009.10.08 Backdoor.Bredolab.afw
ClamAV 0.94.1 2009.10.07 –
Comodo 2527 2009.10.07 –
DrWeb 5.0.0.12182 2009.10.08 Trojan.Botnetlog.11
eSafe 7.0.17.0 2009.10.06 –
eTrust-Vet 35.1.7056 2009.10.07 Win32/Bredolab.QL
F-Prot 4.5.1.85 2009.10.07 –
F-Secure 8.0.14470.0 2009.10.08 Backdoor.Win32.Bredolab.afw
Fortinet 3.120.0.0 2009.10.08 W32/Bredolab.AFW!tr.bdr
GData 19 2009.10.08 –
Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Bredolab
Jiangmin 11.0.800 2009.10.08 –
K7AntiVirus 7.10.864 2009.10.07 –
Kaspersky 7.0.0.125 2009.10.08 Backdoor.Win32.Bredolab.afw
McAfee 5764 2009.10.07 Generic BackDoor!bbt
McAfee+Artemis 5764 2009.10.07 Generic BackDoor!bbt
McAfee-GW-Edition 6.8.5 2009.10.08 Trojan.Crypt.XPACK.Gen
Microsoft 1.5101 2009.10.08 TrojanDownloader:Win32/Bredolab.X
NOD32 4488 2009.10.07 Win32/TrojanDownloader.Bredolab.AA
Norman 6.01.09 2009.10.07 –
nProtect 2009.1.8.0 2009.10.08 –
Panda 10.0.2.2 2009.10.07 Suspicious file
PCTools 4.4.2.0 2009.10.07 –
Prevx 3.0 2009.10.08 Medium Risk Malware
Rising 21.49.22.00 2009.09.30 –
Sophos 4.45.0 2009.10.08 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.07 –
Symantec 1.4.4.12 2009.10.08 Trojan Horse
TheHacker 6.5.0.2.033 2009.10.07 –
TrendMicro 8.950.0.1094 2009.10.08 –
VBA32 3.12.10.11 2009.10.08 –
ViRobot 2009.10.8.1975 2009.10.08 Backdoor.Win32.Bredolab.30208.F
VirusBuster 4.6.5.0 2009.10.07 Backdoor.Bredolab.RU
Additional information
File size: 30208 bytes
MD5…: 07355e76c707561c9cbeeb280c06534c
SHA1..: 643ca332cd07ae033777de50cc50636ff655d6a4

Debemos decir que el anterior analisis era del dia 5, y que algunos antivirus que ahora lo detectan (como NOD32) no lo detectaban, lo cual es propio de ser muy nuevo…

Pues tras la ejecucion de dicho Bredolab, descarga varios malwares, entre ellos el wpv231252512956.exe que es autoejecutado y deja residente un temporal que desaparece en la siguiente sesion, tras lograr modificar el MBR. Este exe es conocido solo por 6 antivirus actualmente:
 
File wpv231252512956.exe received on 2009.10.08 07:28:52 (UTC)
 
Result: 6/39 (15.38%)

 Compact Print results  Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Mebroot!IK
AhnLab-V3 5.0.0.2 2009.10.07 –
AntiVir 7.9.1.33 2009.10.07 –
Antiy-AVL 2.0.3.7 2009.10.05 –
Authentium 5.1.2.4 2009.10.08 –
Avast 4.8.1351.0 2009.10.07 –
AVG 8.5.0.420 2009.10.04 –
BitDefender 7.2 2009.10.08 Gen:Trojan.Heur.vqW@QwZ6Jqj
CAT-QuickHeal 10.00 2009.10.08 –
ClamAV 0.94.1 2009.10.07 –
Comodo 2527 2009.10.07 –
DrWeb 5.0.0.12182 2009.10.08 –
eSafe 7.0.17.0 2009.10.06 –
eTrust-Vet 35.1.7056 2009.10.07 –
F-Prot 4.5.1.85 2009.10.07 –
F-Secure 8.0.14470.0 2009.10.08 –
Fortinet 3.120.0.0 2009.10.08 –
GData 19 2009.10.08 Gen:Trojan.Heur.vqW@QwZ6Jqj
Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Mebroot
Jiangmin 11.0.800 2009.10.08 –
K7AntiVirus 7.10.864 2009.10.07 –
Kaspersky 7.0.0.125 2009.10.08 –
McAfee 5764 2009.10.07 –
McAfee+Artemis 5764 2009.10.07 Artemis!32BA5AF5A8FD
McAfee-GW-Edition 6.8.5 2009.10.08 –
Microsoft 1.5101 2009.10.08 –
NOD32 4488 2009.10.07 –
Norman 6.01.09 2009.10.07 –
nProtect 2009.1.8.0 2009.10.08 –
PCTools 4.4.2.0 2009.10.07 –
Prevx 3.0 2009.10.08 –
Rising 21.49.22.00 2009.09.30 –
Sophos 4.45.0 2009.10.08 –
Sunbelt 3.2.1858.2 2009.10.07 –
Symantec 1.4.4.12 2009.10.08 –
TheHacker 6.5.0.2.033 2009.10.07 –
TrendMicro 8.950.0.1094 2009.10.08 –
ViRobot 2009.10.8.1975 2009.10.08 –
VirusBuster 4.6.5.0 2009.10.07 Trojan.DL.Sinowal.Gen.13
Additional information
File size: 352256 bytes
MD5   : 32ba5af5a8fdc1287b03a25936642a29
SHA1  : 514d4fed75c30f781f064773273618845efd310a

y tras ello queda residente este 24.TMP que es el que modifica el MBR, detectado unicamente tambien por ahora por 6 antivirus:

File 24.tmp received on 2009.10.08 07:29:49 (UTC)

Result: 6/41 (14.63%)

 Compact Print results  Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 Trojan.Win32.Mebroot!IK
AhnLab-V3 5.0.0.2 2009.10.07 –
AntiVir 7.9.1.33 2009.10.07 –
Antiy-AVL 2.0.3.7 2009.10.05 –
Authentium 5.1.2.4 2009.10.08 –
Avast 4.8.1351.0 2009.10.07 –
AVG 8.5.0.420 2009.10.04 –
BitDefender 7.2 2009.10.08 Gen:Trojan.Heur.sqW@Q2JcXZ
CAT-QuickHeal 10.00 2009.10.08 –
ClamAV 0.94.1 2009.10.07 –
Comodo 2527 2009.10.07 –
DrWeb 5.0.0.12182 2009.10.08 –
eSafe 7.0.17.0 2009.10.06 –
eTrust-Vet 35.1.7056 2009.10.07 –
F-Prot 4.5.1.85 2009.10.07 –
F-Secure 8.0.14470.0 2009.10.08 Trojan:W32/Mebroot.gen!B
Fortinet 3.120.0.0 2009.10.08 –
GData 19 2009.10.08 Gen:Trojan.Heur.sqW@Q2JcXZ
Ikarus T3.1.1.72.0 2009.10.08 Trojan.Win32.Mebroot
Jiangmin 11.0.800 2009.10.08 –
K7AntiVirus 7.10.864 2009.10.07 –
Kaspersky 7.0.0.125 2009.10.08 –
McAfee 5764 2009.10.07 –
McAfee+Artemis 5764 2009.10.07 –
McAfee-GW-Edition 6.8.5 2009.10.08 Heuristic.LooksLike.Win32.Dropper.I
Microsoft 1.5101 2009.10.08 –
NOD32 4488 2009.10.07 –
Norman 6.01.09 2009.10.07 –
nProtect 2009.1.8.0 2009.10.08 –
Panda 10.0.2.2 2009.10.07 –
PCTools 4.4.2.0 2009.10.07 –
Prevx 3.0 2009.10.08 –
Rising 21.49.22.00 2009.09.30 –
Sophos 4.45.0 2009.10.08 –
Sunbelt 3.2.1858.2 2009.10.07 –
Symantec 1.4.4.12 2009.10.08 –
TheHacker 6.5.0.2.033 2009.10.07 –
TrendMicro 8.950.0.1094 2009.10.08 –
VBA32 3.12.10.11 2009.10.08 –
ViRobot 2009.10.8.1975 2009.10.08 –
VirusBuster 4.6.5.0 2009.10.07 –
Additional information
File size: 299008 bytes
MD5   : c13b588e581243441e97efb5b56d46d6
SHA1  : 4966d0fbbc00f682b733012a083a3fcf0d4c39c6

Finalmente, analizado el MBR creado, vemos:

File Mbr_HD received on 2009.10.08 08:43:13 (UTC)

Result: 7/41 (17.08%)
 
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.08 –
AhnLab-V3 5.0.0.2 2009.10.07 –
AntiVir 7.9.1.35 2009.10.08 BOO/Sinowal.E
Antiy-AVL 2.0.3.7 2009.10.05 –
Authentium 5.1.2.4 2009.10.08 –
Avast 4.8.1351.0 2009.10.07 –
AVG 8.5.0.420 2009.10.04 –
BitDefender 7.2 2009.10.08 –
CAT-QuickHeal 10.00 2009.10.08 –
ClamAV 0.94.1 2009.10.07 –
Comodo 2527 2009.10.07 –
DrWeb 5.0.0.12182 2009.10.08 BackDoor.MaosBoot
eSafe 7.0.17.0 2009.10.06 –
eTrust-Vet 35.1.7056 2009.10.07 –
F-Prot 4.5.1.85 2009.10.07 –
F-Secure 8.0.14470.0 2009.10.08 Backdoor.Win32.Sinowal.ezv
Fortinet 3.120.0.0 2009.10.08 –
GData 19 2009.10.08 –
Ikarus T3.1.1.72.0 2009.10.08 –
Jiangmin 11.0.800 2009.10.08 –
K7AntiVirus 7.10.864 2009.10.07 –
Kaspersky 7.0.0.125 2009.10.08 Backdoor.Win32.Sinowal.ezv
McAfee 5764 2009.10.07 –
McAfee+Artemis 5764 2009.10.07 –
McAfee-GW-Edition 6.8.5 2009.10.08 Virus.Sinowal.E
Microsoft 1.5101 2009.10.08 Trojan:DOS/Sinowal.K
NOD32 4488 2009.10.07 –
Norman 6.01.09 2009.10.07 –
nProtect 2009.1.8.0 2009.10.08 –
Panda 10.0.2.2 2009.10.07 –
PCTools 4.4.2.0 2009.10.07 –
Prevx 3.0 2009.10.08 –
Rising 21.49.22.00 2009.09.30 –
Sophos 4.45.0 2009.10.08 Troj/Mbroot-G
Sunbelt 3.2.1858.2 2009.10.07 –
Symantec 1.4.4.12 2009.10.08 –
TheHacker 6.5.0.2.033 2009.10.07 –
TrendMicro 8.950.0.1094 2009.10.08 –
VBA32 3.12.10.11 2009.10.08 –
ViRobot 2009.10.8.1975 2009.10.08 –
VirusBuster 4.6.5.0 2009.10.07 –
Additional information
File size: 512 bytes
MD5…: 08f20ad4a34f032b66e39bb75de31303
SHA1..: 26a07da2a4a2fd079b379d02228102fded72ec4f

Ningun problema cuando sabemos que está infectado el MBR, arrancamos con el CD de instalacion, entramos en consola de recuperacion y lanzamos un FIXMBR, pero cuando hacerlo ??? Lo dificil es detectar la infección en el MBR con Windows NT (XP, 2000, 2003, 2008, Vista) en marcha, y es lo que trataremos de conseguir.

Los ficheros intermedios ya los detectamos y eliminamos, pero cuando los vemos, el virus ya ha hecho su faena en el MBR… y posiblemente enviado passwords a direcciones remotas.

Si los ZBOT son peludos o duros de pelar, estos BOTKIT, MebRoot, MBRoot, o como se les quiera llamar, ya son calvos, todavía mas dificiles de pelar 🙂

Estamos en ello, seguiremos informando, pero mientras conviene tenerlo presente !

saludos

ms, 8-10-2009

 

 

NOTA:
NOTA: Recibido de un usuario la confirmacion de la efectividad del ELISTARA corrigiendo dicho RootKit de MBR, segun infosat.txt

27-10-2009 14:08:28 (GMT))
EliStartPage v19.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2009)
————————————————–
Lista de Acciones (por Acción Directa):
Eliminado , Installed Components “{08B0E5C0-4FCB-11CF-AAA5-00401C608500}”
Eliminado , Installed Components “{CC2A9BA0-3BDD-11D0-821E-444553540000}”
Eliminados Ficheros Temporales del IE
Detectado Trojan.Mebroot(mbr) en MBR del HD1
Restaurado MBR del HD1

Nos complace dicha información que nos confirma dicha efectividad ! :)

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies