quarta-feira, 6 de junho de 2012

Análise Trojan Banker

Neste artigo farei uma análise detalhada de um malware curioso, este malware chega por e-mail como um suspoto vídeo porno, no formato ".src".



No Windows o formato (.src) tem o potencial de instalar vírus quando executados. A abertura de qualquer arquivo com o sufixo ".src", vindo por exemplo de um anexo de email, faz com que o Windows execute o arquivo automaticamente — permitindo com qual algum vírus ou malware se instale.


Após ser executado no sistema, o trojan cria 02 processos "notepad.exe", baixa diversos arquivos e efetua consultas DNS:


 
 
O malware faz ainda, o download (30 mb) de um aplicação (Thumbnail),  utilizada para redução de imagens, talvez com o objetivo de de diminuir o tempo de download da página:



Dentro dos arquivos do "notepad.exe" que estão rodando no host, o malware modifica as configurações do proxy, tipo:
 
"EnableAutoProxyResultCache"= "XXXXXXXXXX"

"EnableNegotiate"= "XXXXXXXXXXXXXX"
"ProxyEnable"="XXXXXXXXXXXXXXXX"
"AutoConfigURL"="XXXXXXXXXXXX"
"ProxyServer"="XXXXXXXXXXX"
"ProxyOverride"="XXXXXXXXXX"


De modo que ao tentar acessar sites como itau.com.br, bradesco.com.br e santander.com.br, o usuário é redirecionado para uma página falsa, na qual as imagens estão localizadas dentro da sua própria máquina:




Retirei o acesso à internet da máquina e efetuei requisições para os endereços destes bancos, verificando que mesmo sem o acesso da web, o trojan retorna para o usuário a imagem do phishing:


Phishing mal-feito:

A imagem é quase totalmente estática, todos os botões na página não funcionam exceto o campo para o usuário colocar a agência e a conta do banco. Coloquei dados falsos na imagem e verifiquei para onde o trojan envia eles:



Analisando os endereços e as requisições efetuadas pelo trojan, observei ainda que o mesmo baixa diversos componentes adicionais, "módulos" que acrescentam funções e atualizações, efetuando uma conexão para um destes endereços:


 A página aparece com suas informações codificadas, parece ser algo como a Cifra de César, com a ajuda de um amigo, que desenvolveu um script em perl, consegui decodificar as informações:



Podemos observar até o endereço do banco de dados, para o qual o trojan deve enviar as informações bancárias coletadas e o contador registrando o número de usuários infectados.

Colocando o arquivo para análise do site especializado Virustotal, o trojan teve um nível de detecção baixo (7/41), pelas ferramentas de antivírus, sendo reportado como Trojan W32.Generic:









Nenhum comentário:

Postar um comentário