Fake Skype analysis II

Hace días publicaba una entrada aquí en DragonJAR sobre una aplicación fake que habían colado en el repositorio de software Open Source llamado Sourceforge. En la primera entrada, hicimos alguna búsqueda de strings en la aplicación, con pyew, extrajimos alguna información además de que hicimos un análisis usando BSA pero sin tener acceso a internet. Continuamos con el artículo de hoy, primero de todo dando de algo de información del binario. File: SkypeSetup.exe Size: 1916301 bytes Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5: 4e6e4f03ae39c1273a7dd64c57ff2099 SHA1: 5c842d5632a9d31c12b51dc73f3e97827117d4d5 ssdeep: 49152:pZsBWOGZFBNmWdOG5jYm23cNDVNJlXso80WH+YIjNP89A6UgXaF:pZsBWOGZFBTdOGj23aJTlRiOpyA6UgS Date: 0x4D0B8C52 [Fri Dec 17 16:14:10 2010 UTC] EP: 0x40b2ec .text 0/5 CRC: Claimed: 0x0, Actual: 0x1df18f [SUSPICIOUS] Si nos fijamos en la fecha de creación es de 2010! Como comentaba, en la primera parte hicimos un análisis de la aplicación en una sandbox pero sin que esta tuviera acceso a internet, le simulamos algunos servicios usando FakeNET. ¿El análisis cambia con o sin acceso a internet? Pues la respuesta es si, podemos encontrarnos en varios casos en los que el malware realiza ciertas acciones antes de hacer sus maldades. Peticiones DNS Llamadas al sistema El paquete entero de Fake Sype, YA contenía un EXE con el instalador, no le hacía falta conectarse a internet. Pero si por lo que sea, no podía conectarse con su panel de Control no hacía nada y daba un error. En cuanto le di acceso a Internet estos fueron los cambios que se hicieron en la sandbox. Report generated with Buster Sandbox Analyzer 1.88 at 16:45:47 on 14/07/2013 [ General information ] * Analysis duration: 00:02:00 * File name: c:\documents and settings\user\desktop\malware\skypesetup.exe [ Changes to filesystem ] * Creates file C:\cleanup.bat * Creates file C:\cleanup.exe * Creates file C:\Program Files\Common Files\Skype\Skype4COM.dll * Creates file C:\Program Files\qcdvglgr.txt * Creates file (hidden) C:\Program Files\Skype\desktop.ini * Creates file C:\Program Files\Skype\Phone\Skype.exe * Creates file C:\Program Files\Skype\third-party_attributions.txt * Creates file C:\Program Files\Skype\third-party_attributions_click-to-call.txt * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\icon.ico * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe * Creates file C:\Program Files\Skype\Toolbars\Internet Explorer\uninstall.ico * Creates file C:\Program Files\Skype\Toolbars\Shared\root.pem * Creates file C:\Program Files\Skype\Toolbars\Shared\SkypeBrowserOptions.dll * Creates file C:\Program Files\Skype\Toolbars\Shared\SkypePnr.dll * Creates file C:\Program Files\Skype\Toolbars\SkypeToolbars.msi * Creates file C:\Program Files\Skype\Updater\Updater.dll * Creates file C:\Program Files\Skype\Updater\Updater.exe * Creates file C:\WINDOWS\CDFRT.txt * Creates file C:\WINDOWS\Installer\18f4f7.msi * Creates file C:\WINDOWS\Installer\18f4fc.msi * Creates file C:\WINDOWS\Installer\{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}\SkypeIcon.exe * Creates file C:\WINDOWS\Installer\{B6CF2967-C81E-40C0-9815-C05774FEF120}\IconUninstallIco * Creates file C:\WINDOWS\ornrvjo.txt * Creates file C:\WINDOWS\system32\BBK3.txt * Creates file C:\WINDOWS\system32\CMC.exe * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6 * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6 * Creates file C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F * Creates file C:\WINDOWS\system32\CONFIG.DDR * Modifies file C:\WINDOWS\system32\d3d9caps.dat * Creates file C:\WINDOWS\system32\drivers\khkher.sys * Creates file C:\WINDOWS\system32\drivers\puqr.sys * Creates...

Leer Más
Fake Skype analysis
Jul14

Fake Skype analysis

Es común por parte de los criminales imitar programas legítimos para tratar de infectar usuarios. Si consiguen crear una buena imitación de un software muy usado se podrá conseguir un impacto muy alto. En una lista de seguridad advertían de que habían subido a un repositorio de Sourceforge un instalador de Skype malicioso. Antes de que de retiraran el archivo me lo descargue para ver que es lo que era exactamente. Por suerte el archivo ya ha sido removido del repositorio de Sourceforge. Si buscamos en Google, podemos ver que ya había sido cacheado por él. El MD5 del binario es: darkmac:pyew marc$ md5 ../../../Downloads/SkypeSetup.exe MD5 (../../../Downloads/SkypeSetup.exe) = 4e6e4f03ae39c1273a7dd64c57ff2099 Antes de ejecutarlo en ningún entorno vamos a extraer algunos strings del binario. Entre los strings encontramos cosas como: OleInitialize ole32.dll OLEAUT32.dll WINRAR.SFX RSDSo d:\Projects\WinRAR\SFX\build\sfxrar32\Release\sfxrar.pdb Presuntamente podemos ver que se estaba compilando el archivo en la Unidad D: Podemos ver mas strings interesantes </assembly> PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDING***messages*** ; Strings 28b64ee0="Selecione a pasta de destino" c2f7663d="Extraindo %s" e6184908="Ignorando %s" 5ec2b9a4="Final inesperado do arquivo" 8e950692="O cabe alho do arquivo \"%s\" est corrompido" 7e3a9609="O cabe alho do coment rio do arquivo est corrompido" 4eb4cd58="O coment rio do arquivo est corrompido" 009537bf="Mem ria insuficiente" 4d117d42="M todo desconhecido em %s" 7c1e30d8="N o foi poss vel abrir %s" 62240658="N o foi poss vel criar %s" 644f7b2f="N o foi poss vel criar a pasta %s" efa47afe="Falha de CRC no arquivo codificado %s. Arquivo corrompido ou senha errada." 2669d7b6="Falha de CRC em %s" cedc96f3="Falha de CRC nos dados comprimidos em %s" d7b7d4f4="Senha incorreta para %s" 41ce4b30="Erro de grava o no arquivo %s. Provavelmente o disco est cheio" 68a8444a="Erro de leitura no arquivo %s" fc92e4b0="Erro ao fechar o arquivo" c282ae83="O volume requerido est ausente" 8deeac82="Este arquivo est em formato desconhecido ou danificado" bdba36ee="Extraindo de %s" 3f75c3f0="Pr ximo volume" b127402c="O cabe alho do arquivo est corrompido" 28968711="Fechar" 664abaa4="Erro" f819b84b="Foram encontrados erros ao executar a opera o\nAten o para a informa o da janela para maiores detalhes" 4bcf6a1f="bytes" 0fafb862="modificado em" a05a6a8d="pasta n o est acess vel" ca228992="Alguns arquivos n o puderam ser criados.\nFavor fechar todas as aplica es, reinicie o Windows e recomece a instala 7b70360d="Alguns arquivos da instala o est o corrompidos.\nFavor fazer o download de um novo arquivo para refazer a instala 3bf460be="Todos os arquivos" 4ebc6a80="<ul><li>Pressione o bot o <b>Instalar</b> para iniciar a extra o.</li><br><br>" 501aec0e="<ul><li>Pressione o bot o <b>Extrair</b> para iniciar a extra o.</li><br><br>" bf41b9e0="<li>Use o bot o <b>Procurar</b> para selecionar uma pasta de" Estos strings pertenecerían al asistente de instalación de Skype. Ahora usaremos una tool. que se llama pyew, para extraer mas información del binario. Ejecutamos la herramienta. darkmac:pyew marc$ python pyew.py ../../../Downloads/SkypeSetup.exe Cuando ejecutemos la herramienta sobre...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES