Breve análise de um malware

Estava à procura de um conversor gratuito de formatos de vídeo quando encontrei num fórum Português uma referência à aplicação MediaCoder.

Tal como faço com todo o software que não conheço, decidi descarregar e experimentar o mesmo num ambiente isolado, isto é, num ambiente em que caso me arrependesse de ter descarregado e instalado a aplicação, a mesma não iria por em risco os restantes dados. Para o efeito de isolamento recorri a uma máquina virtual com Windows XP SP3 no idioma Inglês.

Durante o processo de descarregamento surgiu a seguinte janela:

MediaCoderSpyware01

Texto completo:

blog024

Análise do URL
HCP é o protocolo usado pelo sistema de ajuda e suporte do Windows XP;
Está a ser efectuada uma pesquisa pelo termo "anything" na categoria "Informação de ‘O meu computador" (sysinfomain.htm);
Ao endereço "normal" foram adicionados 285 caracteres ("%A%%A%%…) que vão provocar a reescrita do endereço de retorno que vai permitir a execução de código;
O código vai ser executado recorrendo ao motor de scripting do navegador com a etiqueta "DEFER". Esta etiqueta ordena ao navegador que o mesmo não espere que o script termine o carregamento e que dê continuidade ao processamento da página;
O código que vai ser executado está escrito em ASCII;

Convertendo ASCII em texto simples, obtemos o seguinte:

blog026

O código é executado através da linha de comandos (cmd) com o argumento “/C” que indica que no final da execução o processo deve ser terminado;
No processo de execução do comando é descarregado através do protocolo HTTP o ficheiro "l.vbs" que se encontra em "http://modirdred.cx.cc/l.php?a=QQkFBwQGDQMGBwYAEkcJBQcEAQECDQAGAQ==" para a pasta temporária do Windows (%TEMP%), é executado o ficheiro "l.vbs" e é terminado abruptamente o processo “helpctr.exe” que corresponde à janela de ajuda e suporte do Windows XP. O objectivo de terminar abruptamente o processo é para substituir a janela de ajuda do Windows por uma outra idêntica que vai induzir o utilizador final a executar comandos.

 

 

Análise do ficheiro "l.vbs"
O ficheiro contem o seguinte:

blog025

Na análise do URL vimos que o autor recorreu ao ASCII para disfarçar o código e agora no VB script o autor recorre à escrita reversa, ou seja, os comandos "principais" estão escritos de trás para a frente, por exemplo, "tcejbOmetsySeliF.gnitpircS" é a mesma coisa que "Scripting.FileSystemObject";
É efectuada uma chamada ao endereço "http://modirdred.cx.cc/out.php?a=&p=3" e se o mesmo devolver um "OK" (código de resposta HTTP 200) é descarregado e executado da pasta temporária do Windows o ficheiro "exe.exe" que contem aquilo que o autor deste malware quiser; Se a resposta do endereço for diferente de 200, é terminado abruptamente o processo Windows Media Player (“wmplayer.exe”) e o ficheiro “exe.exe” é eliminado.

 

Este malware recorre a duas falhas conhecidas:

Help Center URL Validation Vulnerability CVE-2010-1885 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1885)

Windows Media Format ASX Parsing Vulneability CVE-2006-69134 (http://www.microsoft.com/technet/security/bulletin/ms06-078.mspx)

 

 

Como evitar/eliminar este malware:

1 – A máquina virtual não ficou infectada pois a mesma encontrava-se atualizada, por isso, uma das medidas preventivas é manter atualizado o sistema operativo e aplicações instaladas.

2 – Neste caso bastava no Internet Explorer clicar em “Negar” a execução daquele URL estranho para a ameaça não ser executada…

3 – Não instalar todo o software que lhe aparece pela frente. Se o tiveres que o fazer, perde mais uns minutos e executa-o num ambiente isolado.

4 – Lista de antivírus que detectam e eliminam a ameaça:

Microsoft Security Essentials

Microsoft Safety Scanner

Kasperky

Trend Micro

Norton

CA eTrust

5– Uma vez que o malware pode descarregar e executar o código que bem lhe apetecer, não vou recomendar aqui num método para eliminar o vírus “manualmente” pois os passos de remoção podem mudar a qualquer momento. O ideal neste caso é efetuar uma análise exaustiva a todos os ficheiros através de um antivírus.

 

 

Mais informações sobre esta ameaça:

No portal da Microsoft: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=TrojanDownloader%3aVBS%2fSmall.AW

http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-help-vulnerability-disclosure.aspx

No portal da Kaspersky:

http://www.securelist.com/en/find?words=Trojan-Downloader.VBS.Small.iz

4 thoughts on “Breve análise de um malware

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s